كشفت Google Threat Intelligence Group (GITG) عن حملة تصيّد جديدة مرتبطة بالهوية الافتراضية المعروفة باسم “Raccoon”، يقودها تجمع تهديد مالي يُعرف باسم UNC6783. هذه الحملة تستهدف عشرات المؤسسات البارزة في قطاعات متعددة من خلال اختراق مزوّدي خدمات التعهيد (BPO) وموظفي مكاتب المساعدة التقنية، بهدف الوصول لاحقاً إلى بيانات حساسة واستخدامها في الابتزاز.
يعتمد المهاجمون على الهندسة الاجتماعية عبر المحادثات المباشرة (Live Chat)، حيث يتم توجيه الموظفين إلى صفحات تسجيل دخول مزيفة تُستخدم لسرقة بيانات الدخول وتمكين المهاجمين من الوصول إلى الأنظمة الداخلية.
أدوات التصيّد وتقنيات متقدمة
أوضحت Google أن المهاجمين يستخدمون حزمة تصيّد متطورة قادرة على سرقة محتويات الحافظة (Clipboard) لتجاوز أنظمة التحقق متعدد العوامل (MFA). كما يقومون بتسجيل أجهزتهم الخاصة ضمن حسابات الضحايا لضمان وصول دائم ومستمر.
إضافة إلى ذلك، رصدت Google استخدامهم لتحديثات أمنية مزيفة تحت اسم ClickFix، والتي تعمل كغطاء لتثبيت برمجيات وصول عن بُعد (Remote Access Malware)، ما يمنحهم سيطرة كاملة على الأجهزة المستهدفة.
تداعيات أمنية على المؤسسات
الحملة لا تقتصر على قطاع واحد، بل تمتد لتشمل مؤسسات مالية، شركات تقنية، مزوّدي خدمات، وحتى جهات حكومية. هذا التنوع في الأهداف يعكس أن الدافع الأساسي هو الابتزاز المالي عبر الحصول على بيانات حساسة يمكن بيعها أو استخدامها للضغط على المؤسسات.
استهداف موظفي الدعم الفني يُعد ثغرة خطيرة، إذ يُعتبر هؤلاء الموظفون حلقة وصل مباشرة مع العملاء والأنظمة الداخلية، ما يجعلهم أهدافاً مثالية للهجمات.
توصيات أمنية من Google
أوصت Google المؤسسات باتباع مجموعة من الإجراءات الوقائية لمواجهة هذا النوع من التهديدات، أبرزها:
- اعتماد مفاتيح FIDO2 للأدوار عالية المخاطر، كونها توفر مستوى حماية متقدماً ضد محاولات تجاوز التحقق.
- مراقبة المحادثات المباشرة لرصد الروابط المشبوهة أو محاولات إعادة توجيه الموظفين إلى صفحات مزيفة.
- مراجعة الأجهزة المسجّلة حديثاً في أنظمة MFA بشكل دوري، للتأكد من عدم وجود أجهزة غير مصرح بها.
هذه التوصيات تأتي في إطار تعزيز الدفاعات ضد هجمات متطورة تستغل الثغرات البشرية والتقنية على حد سواء، وتؤكد أن المؤسسات بحاجة إلى رفع مستوى الوعي الأمني لدى موظفيها، خصوصاً في أقسام الدعم الفني ومراكز التعهيد.
