سلسلة تصيّد احتيالي متقدمة تستهدف مستخدمي مايكروسوفت

يستغلّ المهاجمون السيبرانيون منصة تقديم عروض مدعومة بالذكاء الاصطناعي تُدعى Gamma، في سلسلة هجمات تصيّد احتيالي تهدف إلى توجيه المستخدمين المطمئنين نحو صفحات تسجيل دخول مزيفة لخدمة Microsoft SharePoint.

ووفقًا لتحليل أجراه باحثو Abnormal Security، كالي هينمان بارون وبيوتر فوجتيلا:

“يقوم المهاجمون بتسليح منصة Gamma، وهي أداة عرض جديدة نسبيًا تعتمد على الذكاء الاصطناعي، لتوصيل رابط يؤدي إلى بوابة تسجيل دخول احتيالية خاصة بمايكروسوفت شيربوينت.”

كيف تبدأ سلسلة الهجوم؟

تبدأ سلسلة الهجوم برسالة بريد إلكتروني تصيّدية، تُرسل أحيانًا من حسابات بريد إلكتروني حقيقية تم اختراقها مسبقًا، وذلك لخداع الضحية لفتح ملف PDF مرفق.

لكن في الحقيقة، هذا الملف لا يحتوي إلا على رابط تشعبي، يؤدي عند النقر عليه إلى عرض تقديمي مستضاف على منصة Gamma، يطلب من الضحية النقر على زر لمراجعة ما يُزعم أنه “مستندات آمنة”.

بمجرد النقر، يتم تحويل المستخدم إلى صفحة وسيطة تُقلّد واجهة مايكروسوفت، وتطلب منه اجتياز اختبار CAPTCHA باستخدام Cloudflare Turnstile، مما يعزز مصداقية الهجوم ويصعب على أدوات تحليل الروابط الآلية اكتشافه.

الصفحة المزيفة: تسجيل دخول مزيف لـ Microsoft SharePoint

بعد تجاوز صفحة التحقق، يتم توجيه الضحية إلى صفحة تصيّد احتيالي تحاكي بوابة تسجيل الدخول إلى Microsoft SharePoint بهدف جمع بيانات الاعتماد (اسم المستخدم وكلمة المرور).

وفي حال تم إدخال بيانات غير صحيحة، يتم عرض رسالة “كلمة المرور غير صحيحة”، ما يشير إلى أن المهاجمين يستخدمون هجوم الوسيط (AiTM) للتحقق من صحة بيانات تسجيل الدخول في الوقت الفعلي.

الهجمات السيبرانية تعتمد على خدمات مشروعة: تقنية LOTS

تندرج هذه الهجمات ضمن نهج متزايد يُعرف باسم العيش على مواقع موثوقة (LOTS)، حيث يستغل القراصنة خدمات شرعية مثل Gamma أو SharePoint أو Cloudflare لنشر محتوى خبيث وتجاوز بروتوكولات الحماية مثل SPF وDKIM وDMARC.

“يوضح هذا الهجوم المتعدد المراحل كيف يستغل المهاجمون أدوات غير معروفة نسبيًا لتفادي الاكتشاف، وخداع الضحايا، واختراق الحسابات”، بحسب ما ذكره الباحثون.

خطوات إعادة التوجيه المتعددة:

1. يتم توجيه المستخدم أولًا إلى عرض تقديمي على Gamma.

2. ثم يتم نقله إلى صفحة تحقق محمية بواسطة Cloudflare Turnstile.

3. وأخيرًا، يُعاد توجيهه إلى صفحة تسجيل دخول مزيفة لمايكروسوفت.

تهدف هذه السلسلة إلى إخفاء الوجهة الحقيقية وتقويض أدوات تحليل الروابط الثابتة.

تصاعد الاحتيال المدعوم بالذكاء الاصطناعي

تأتي هذه الهجمات في ظل تحذير مايكروسوفت في تقريرها الأخير Cyber Signals من تصاعد هجمات التصيّد المدفوعة بالذكاء الاصطناعي، والتي تستخدم تقنيات مثل:

• التزييف العميق (Deepfakes)

• استنساخ الصوت

• رسائل التصيّد المتطورة

• مواقع وهمية تبدو أصلية

• عروض وظائف مزيفة

صرحت الشركة:

“تقوم أدوات الذكاء الاصطناعي بجمع وتحليل المعلومات من الإنترنت لبناء ملفات تعريف دقيقة عن الموظفين والأهداف المحتملة، مما يمكّن من إعداد هجمات هندسة اجتماعية بالغة الإقناع.”

وفي حالات أخرى، يستغل المهاجمون مراجعات مزيفة مدعومة بالذكاء الاصطناعي ومتاجر إلكترونية مزيفة لخداع المستخدمين، حيث يُنشئون علامات تجارية كاملة على الإنترنت تشمل سجلات أعمال وهمية وشهادات زبائن مزورة.

Microsoft تتصدى لهجمات مجموعة Storm-1811

كشفت مايكروسوفت أيضًا عن جهودها في التصدي لهجمات تقودها مجموعة التهديد Storm-1811 (المعروفة أيضًا باسم STAC5777)، والتي استغلت برنامج Quick Assist التابع لمايكروسوفت للتمويه كدعم فني وتنفيذ عمليات تصيّد صوتي (vishing) عبر Microsoft Teams للحصول على وصول عن بُعد إلى الأجهزة ونشر برمجيات فدية.

تطور الأساليب:

وفقًا لتقرير جديد من شركة ReliaQuest، فإن المجموعة غيّرت تكتيكاتها باستخدام:

• أسلوب اختراق جديد يعتمد على اختطاف مكتبة TypeLib (COM hijacking)

• باب خلفي جديد مكتوب بـ PowerShell

وقد بدأ تطوير هذه البرمجية الخبيثة في يناير 2025، ونُشرت الإصدارات الأولى عبر إعلانات خبيثة في محرك Bing.

استهدفت هذه الهجمات تحديدًا:

• القطاعات المالية والعلمية والتقنية

• موظفات تنفيذيات أو بأسماء أنثوية

كما لاحظ التقرير أن الهجمات تم توقيتها بدقة لتصل بين الساعة 2:00 و3:00 مساءً بالتوقيت المحلي، مستغلة فترة الانخفاض في تركيز الموظفين.

“سواء كانت حملة التصيّد عبر Microsoft Teams من تنفيذ مجموعة Black Basta أم لا، من الواضح أن التصيّد عبر فرق مايكروسوفت سيبقى تهديدًا مستمرًا”، حسبما أفادت ReliaQuest.