كشف باحثون في مجال الأمن السيبراني عن حملة تصيّد جديدة تستغل رسائل بريد إلكتروني مزيّفة على هيئة رسائل صوتية وأوامر شراء مزعومة لنشر أداة تحميل برمجيات خبيثة تُعرف باسم UpCrypter.
أسلوب الهجوم وآلية الخداع
أوضحت باحثة من Fortinet FortiGuard Labs أن الحملة تعتمد على رسائل بريد إلكتروني مصممة بعناية تتضمن روابط تؤدي إلى صفحات تصيّد مقنعة. هذه الصفحات تُظهر نطاق الضحية وشعاره لتعزيز المصداقية، وتدفعه إلى تنزيل ملف JavaScript خبيث يعمل كأداة لإسقاط UpCrypter.
تستهدف الهجمات قطاعات متعددة منها التصنيع، التكنولوجيا، الرعاية الصحية، الإنشاءات، والضيافة، مع تسجيل إصابات واسعة في مصر، الهند، باكستان، النمسا، كندا، وبيلاروسيا منذ بداية أغسطس 2025.
UpCrypter كقناة لبرمجيات التجسس
يعمل UpCrypter كوسيط لتوزيع برمجيات وصول عن بُعد (RATs) مثل PureHVNC RAT وDCRat وBabylon RAT، والتي تمنح المهاجمين قدرة كاملة على التحكم في الأجهزة المخترقة.
سلسلة العدوى تبدأ برسالة تصيّد على هيئة إشعار بريد صوتي أو فاتورة شراء، تقود الضحية إلى صفحة وهمية تدفعه إلى تنزيل ملف مضغوط يحتوي على JavaScript مشفر. هذا الملف يتواصل مع خادم خارجي لجلب المرحلة التالية من البرمجية، لكنه يتحقق أولًا من الاتصال بالإنترنت ويفحص العمليات النشطة لاكتشاف أدوات التحليل أو بيئات الفحص الافتراضي.
تقنيات متقدمة للإخفاء والتوزيع
يلجأ UpCrypter أيضًا إلى إخفاء الحمولة داخل صور باستخدام تقنية steganography، أو تحميلها كملف نصي عادي، لتفادي أنظمة الرصد. كما يتوفر بنسخة MSIL loader تقوم بتحميل سكربت PowerShell مشفر، وملف DLL، بالإضافة إلى الحمولة الرئيسية، دون كتابة أي ملفات مباشرة على القرص، مما يقلل من الأدلة الجنائية ويصعّب كشف الهجوم.
تجمع الحملة بين التحميل النشط، والتشفير متعدد الطبقات، وتوزيع RATs مختلفة، ما يجعلها نظامًا تهديديًا مرنًا قادرًا على تجاوز الدفاعات والبقاء لفترة طويلة في بيئات مختلفة.
استغلال الخدمات الشرعية لتجاوز الدفاعات
يأتي هذا الكشف متزامنًا مع تقرير لشركة Check Point عن حملة تصيّد واسعة استغلت Google Classroom لتوزيع أكثر من 115 ألف رسالة خبيثة استهدفت 13,500 مؤسسة في أوروبا وأمريكا الشمالية والشرق الأوسط وآسيا. المهاجمون استخدموا دعوات مزيّفة تتضمن عروضًا تجارية وروابط تدفع المستخدمين للتواصل عبر WhatsApp، مما ساعد على تجاوز بروتوكولات التحقق من البريد مثل SPF وDKIM وDMARC.
كما برز اتجاه متزايد لاستغلال خدمات شرعية مثل Microsoft 365 Direct Send وOneNote، بالإضافة إلى منصات بناء مواقع مدعومة بالذكاء الاصطناعي مثل Vercel وFlazio، وخدمات أخرى مثل Discord CDN وZoom وSendGrid وClickFunnels، في تكتيك يُعرف بـ الاعتماد على المواقع الموثوقة (LOTS).
تقنيات مراوغة متطورة في صفحات التصيّد
لمواكبة أنظمة الحماية، يستخدم المهاجمون تقنيات تجنّب تعتمد على JavaScript، مثل حجب الفحص التلقائي أو قوالب Browser-in-the-Browser، وأيضًا استضافة الصفحات داخل بيئات سطح مكتب افتراضية. وتؤكد التحليلات أن البرمجيات الصغيرة المدمجة في صفحات التصيّد أو مواقع الدعم الفني المزيّفة باتت أسلوبًا شائعًا، حيث يتم إعادة توجيه المستخدم مباشرة إلى صفحة فارغة بمجرد رصد أي محاولة تحليل، ما يحول دون اكتشاف الهجوم.
