تحذير من مايكروسوفت بشأن حملة إعلانات ضارة أصابت أكثر من مليون جهاز

كشفت مايكروسوفت تفاصيل حملة إعلانات ضارية واسعة النطاق يُعتقد أنها أثرت على أكثر من مليون جهاز حول العالم، وذلك كجزء من هجوم استغلالي يهدف إلى سرقة المعلومات الحساسة.

تم اكتشاف هذه الأنشطة من قبل العملاق التقني في أوائل ديسمبر 2024، وتقوم مايكروسوفت بتتبعها تحت مظلة “Storm-0408″، وهو اسم يُطلق على مجموعة من الجهات الفاعلة المهددة المعروفة بتوزيع برامج ضارة للوصول عن بُعد أو سرقة المعلومات عبر التصيد الاحتيالي، أو تحسين محركات البحث (SEO)، أو الإعلانات الضارة.

وقال فريق استخبارات التهديدات في مايكروسوفت: “نشأ الهجوم من مواقع بث غير قانونية تحتوي على إعلانات ضارة تقوم بإعادة التوجيه إلى موقع وسيط، حيث يتم بعد ذلك توجيه المستخدم إلى GitHub ومنصتين أخريين.”

وأضاف الفريق: “أثرت الحملة على مجموعة واسعة من المنظمات والصناعات، بما في ذلك أجهزة المستهلكين والأجهزة المؤسسية، مما يسلط الضوء على الطبيعة العشوائية للهجوم.”

أبرز جوانب الحملة

أحد الجوانب الأكثر أهمية في هذه الحملة هو استخدام GitHub كمنصة لتسليم الحمولات الأولية للوصول. وفي حالتين معزولتين أخريين، تم العثور على الحمولات مستضافة على Discord وDropbox. وقد تم إزالة مستودعات GitHub منذ ذلك الحين، ولم تكشف الشركة عن عدد المستودعات التي تمت إزالتها.

تعمل خدمة استضافة الكود المملوكة لمايكروسوفت كمنصة انطلاق لبرامج ضارة مسؤولة عن نشر سلسلة من البرامج الإضافية مثل Lumma Stealer وDoenerium، والتي بدورها قادرة على جمع معلومات النظام.

سلسلة إعادة التوجيه المعقدة

يستخدم الهجوم أيضًا سلسلة إعادة توجيه متطورة تتكون من أربع إلى خمس طبقات، حيث يتم تضمين الموجه الأولي داخل عنصر iframe على مواقع البث غير القانونية التي تقدم محتوى مسروقًا.

تتكون سلسلة العدوى الكاملة من عملية متعددة المراحل تشمل اكتشاف النظام، وجمع المعلومات، واستخدام حمولات متابعة مثل NetSupport RAT ونصوص AutoIT لتسهيل سرقة المزيد من البيانات. كما يعمل حصان طروادة للوصول عن بُعد كقناة لبرامج سرقة البيانات.

مراحل الهجوم الرئيسية

1. المرحلة الأولى: إنشاء موطئ قدم على الأجهزة المستهدفة.
2. المرحلة الثانية: استطلاع النظام، وجمع البيانات، وتسليم الحمولات.
3. المرحلة الثالثة: تنفيذ الأوامر، وتسليم الحمولات، وتجنب الدفاعات، والاستمرارية، والاتصالات مع مركز التحكم، وسرقة البيانات.
4. المرحلة الرابعة: استخدام نصوص PowerShell لتكوين استثناءات Microsoft Defender وتنفيذ أوامر لتنزيل البيانات من خادم بعيد.

استخدام نصوص PowerShell

من السمات الأخرى لهذه الهجمات استخدام نصوص PowerShell متنوعة لتنزيل NetSupport RAT، وتحديد التطبيقات المثبتة وبرامج الأمان، مع التركيز بشكل خاص على البحث عن وجود محافظ عملات رقمية، مما يشير إلى سرقة محتملة للبيانات المالية.

وقالت مايكروسوفت: “بالإضافة إلى برامج سرقة المعلومات، تم تشغيل نصوص PowerShell وJavaScript وVBScript وAutoIT على الجهاز المضيف. كما قام الجهات الفاعلة المهددة باستخدام ملفات ثنائية ونصوص تعتمد على موارد النظام (LOLBAS) مثل PowerShell.exe وMSBuild.exe وRegAsm.exe للتحكم عن بُعد وسرقة بيانات المستخدم ومعلومات المتصفح.”

كشف كاسبرسكي

جاء هذا الكشف بالتزامن مع إعلان كاسبرسكي عن استخدام مواقع وهمية تتظاهر بأنها روبوتات الدردشة الذكاء الاصطناعي DeepSeek وGrok لخداع المستخدمين لتثبيت برنامج سرقة معلومات مكتوب بلغة Python لم يتم توثيقه سابقًا.

كما تم استخدام مواقع وهمية تحمل طابع DeepSeek يتم الترويج لها عبر حسابات موثقة على X (مثل @ColeAddisonTech و@gaurdevang2 و@saduq5) لتنفيذ نص PowerShell يستخدم SSH لمنح المهاجمين وصولاً عن بُعد إلى الكمبيوتر.

وقالت شركة الأمن السيبراني الروسية: “يستخدم المجرمون الإلكترونيون مخططات متنوعة لجذب الضحايا إلى الموارد الضارة. عادةً ما يتم توزيع روابط هذه المواقع عبر المراسلات والشبكات الاجتماعية. وقد يستخدم المهاجمون أيضًا أخطاء مطبعية أو شراء حركة إعلانية لمواقع ضارة عبر العديد من البرامج التابعة.”

تُظهر هذه الحملة مدى تعقيد الهجمات الإلكترونية الحديثة وقدرة المهاجمين على استخدام منصات مشروعة مثل GitHub وDiscord وDropbox لتوزيع البرامج الضارة. يُنصح المستخدمون والمنظمات بزيادة اليقظة وتحديث برامج الأمان بانتظام لتجنب الوقوع ضحايا لمثل هذه الهجمات.