في تصعيد جديد لهجمات التصيّد الإلكتروني، رصد باحثو الأمن السيبراني حملة خبيثة تستخدم رسائل بريد إلكتروني مموهة على هيئة أوامر شراء مزيفة، بهدف خداع الضحايا وتحميل برمجية تجسسية تُعرف باسم 0bj3ctivity Stealer. تعتمد الحملة على ملفات جافا سكريبت كوسيط أولي، بينما يتم تنفيذ المراحل اللاحقة من خلال سلسلة غير مألوفة من الأوامر النصية المصممة بعناية لتفادي الرصد.
آليات الهجوم: من JavaScript إلى PowerShell
وفقًا لشركة Trellix الأمنية، فإن المهاجمين لا يكتفون باستخدام ملفات JavaScript لتثبيت البرمجية، بل يلجؤون إلى برمجيات PowerShell مخصصة لتنفيذ مراحل متقدمة من الهجوم. وتكمن الخطورة في استخدام تقنية الإخفاء بالاستيغانوغرافيا (Steganography)، إذ يقوم السكربت بتحميل صورة بصيغة JPG من موقع archive.org تحتوي على حمولة خبيثة مخفية داخلها. وبمجرد فك التشفير، يتم تنشيط المرحلة التالية من البرنامج الضار.
توزّع الضحايا وانتشار عالمي
تُظهر بيانات التتبع (Telemetry) أن الولايات المتحدة، وألمانيا، والجبل الأسود من أكثر الدول استهدافًا بهذه الحملة، إلا أن نشاطها لم يقتصر على تلك المناطق. فقد تم رصد تحركات واسعة للبرمجية عبر أوروبا، وأمريكا الشمالية، وجنوب شرق آسيا، وأستراليا، ما يعكس الطابع العالمي للتهديد وقدرة المهاجمين على التوسع بسرعة.
خلفية تقنية: من هو Ande Loader؟
البرمجية التجسسية 0bj3ctivity Stealer ليست جديدة تمامًا على الساحة، إذ سبق استخدامها من خلال أداة التحميل المعروفة باسم Ande Loader، وهي أداة خبيثة مصممة لتسهيل توصيل البرمجيات الضارة عبر ملفات خادعة. ويدل استخدام هذه الأداة مجددًا على أن الجهة المهاجمة تتبع نهجًا متطورًا ومركّبًا يجمع بين البرمجيات المعروفة والتقنيات المبتكرة.
