أعلنت شركة Cato Networks عن رصد تطور جديد في حملة برمجيات خبيثة تُعرف باسم JSCEAL، والتي يتم توزيعها عبر إعلانات فيسبوك. هذه البرمجية تعتمد على نسخة مجمعة من محرك V8 JavaScript (JSC)، وقد شهدت خلال أغسطس 2025 نقلة نوعية مقارنة بالنسخ السابقة التي ظهرت في النصف الأول من العام نفسه. بينما كانت الحملة السابقة تعتمد بشكل أساسي على نطاقات .com، فإن النسخة الجديدة توسعت لتشمل نطاقات متعددة مثل .org و.link و.net وغيرها، ما يعكس اعتماد المهاجمين على آلية تسجيل آلي ومنهجي للنطاقات بكميات كبيرة لتسهيل التوزيع وتوسيع الانتشار.
البنية التحتية الجديدة للهجوم
التطور الأبرز في الحملة يتمثل في اعتماد بنية Command-and-Control (C2) جديدة أكثر تعقيداً، حيث أضاف المهاجمون طبقات حماية ضد التحليل الأمني. هذه البنية تفرض قيوداً صارمة على الطلبات الواردة، إذ يتم حظر أي طلب HTTP لا يحتوي على PowerShell User-Agent. وفي حال تم تمرير الطلب بالصيغة الصحيحة، فإن الخادم لا يرسل الحمولة مباشرة، بل يرد برسالة خطأ مزيفة على شكل ملف PDF، قبل أن يقوم لاحقاً بتسليم المرحلة التالية من الهجوم، والتي تتضمن نسخة معدلة من ملف ZIP يحتوي على برمجية سرقة بيانات.
تقنيات التخفي ومكافحة التحليل
اعتماد هذه الاستراتيجية يعكس مستوى متقدم من التخفي، إذ يسعى المهاجمون إلى تضليل الباحثين الأمنيين ومنعهم من الوصول إلى الحمولة الحقيقية بسهولة. الرد المزيف بملف PDF يُعتبر خطوة إضافية لإرباك أدوات التحليل الآلي، بينما يتيح للمهاجمين تمرير البرمجية الخبيثة بشكل أكثر سرية. كما أن استخدام نطاقات متعددة وتسجيلها بشكل دوري يعكس وجود بنية تحتية آلية ومرنة، قادرة على التكيف مع محاولات الحظر أو الإغلاق من قبل مزودي الخدمة.
التداعيات الأمنية على المؤسسات والمستخدمين
هذا التطور في حملة JSCEAL يسلط الضوء على خطورة الاعتماد المتزايد على منصات التواصل الاجتماعي كقنوات لنشر البرمجيات الخبيثة. فإعلانات فيسبوك، التي يُفترض أن تكون وسيلة تسويقية آمنة، أصبحت أداة بيد المهاجمين للوصول إلى جمهور واسع. المؤسسات والمستخدمون على حد سواء باتوا أمام تحديات جديدة، حيث لم تعد الهجمات تقتصر على رسائل البريد الإلكتروني أو الروابط المشبوهة، بل أصبحت تتسلل عبر قنوات مألوفة وموثوقة.
