حملة تصيّد جديدة تستهدف قطاع الضيافة الأوروبي عبر رسائل وهمية من Booking.com

حملة تصيّد جديدة تستهدف قطاع الضيافة الأوروبي عبر رسائل وهمية من Booking.com
حملة تصيّد واسعة تستخدم دعوات مزيفة عبر Calendly لانتحال علامات تجارية كبرى
شارك هذا الخبر

كشف باحثون في شركة Securonix تفاصيل حملة خبيثة أطلق عليها اسم PHALT#BLYX، تستهدف موظفي الفنادق في أوروبا عبر رسائل بريد إلكتروني مزيفة تدّعي أنها من موقع Booking.com. تبدأ السلسلة برسالة تحذّر من إلغاء حجز غير متوقع، وتدعو الموظف إلى الضغط على رابط لتأكيد الإلغاء. الرابط يقود الضحية إلى موقع مزيف يحاكي واجهة Booking.com، ويعرض صفحة تحقق وهمية (CAPTCHA) قبل أن ينقل المستخدم إلى شاشة زرقاء مزيفة (BSoD) مع تعليمات استرجاع مزعومة. هذه التعليمات تطلب من الضحية فتح نافذة التشغيل في ويندوز وإدخال أمر، والذي في الحقيقة ينفذ تعليمات PowerShell خبيثة تؤدي إلى تنزيل وتنفيذ برمجية تجسس تعرف باسم DCRat.

مراحل التنفيذ والتخفي

الهجوم يعتمد على سلسلة متعددة المراحل تبدأ بتنزيل ملف مشروع MSBuild باسم “v.proj” من موقع خبيث، ثم تشغيله عبر أداة MSBuild.exe المدمجة في النظام. هذا الملف يحتوي على حمولة خبيثة مسؤولة عن:

  • تعديل إعدادات Microsoft Defender Antivirus لاستبعاد ملفات معينة وتجنب الكشف.
  • إنشاء آلية استمرارية عبر مجلد بدء التشغيل لضمان تشغيل البرمجية مع كل إعادة تشغيل.
  • تنزيل وتشغيل برمجية DCRat من نفس المصدر.

في حال امتلاك البرمجية صلاحيات إدارية، يمكنها تعطيل برنامج الحماية بالكامل. أما إذا لم تتوفر هذه الصلاحيات، فهي تدخل في حلقة متكررة تُظهر نافذة UAC كل ثانيتين ثلاث مرات، على أمل أن يمنح المستخدم الإذن بدافع الإحباط.

خصائص DCRat وقدراته

برمجية DCRat، المعروفة أيضاً باسم Dark Crystal RAT، هي تروجان مكتوب بلغة .NET، يتميز ببنية تعتمد على الإضافات (plugin-based architecture) تسمح بتوسيع وظائفه. من أبرز قدراته:

  • جمع معلومات حساسة من النظام المصاب.
  • تسجيل ضغطات لوحة المفاتيح.
  • تنفيذ أوامر عشوائية على الجهاز.
  • تنزيل حمولة إضافية مثل أدوات التعدين للعملات الرقمية.
  • الاتصال بخادم خارجي لتلقي أوامر جديدة وتحديث وظائفه.
مؤشرات الاستهداف والجهات المشتبه بها

تشير تفاصيل الحملة إلى أن رسائل التصيّد تضمنت تفاصيل رسوم الغرف باليورو، ما يؤكد أن الاستهداف موجه نحو مؤسسات أوروبية. كما أن استخدام اللغة الروسية داخل ملف “v.proj” يربط النشاط بعوامل تهديد روسية معروفة باستخدامها DCRat. الاعتماد على تقنيات Living-off-the-land (LotL) مثل استغلال أدوات نظام موثوقة كـ MSBuild.exe يعكس فهماً عميقاً لآليات الحماية الحديثة، ويمنح المهاجمين قدرة على التسلل والبقاء داخل الأنظمة المصابة لفترات طويلة دون اكتشاف.

وسوم
محمد وهبى
محمد وهبى
المقالات: 808

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة