في تطور جديد يسلط الضوء على خطورة الهندسة الاجتماعية عبر الإنترنت، كشفت مايكروسوفت عن تفاصيل حملة خبيثة يقودها تجمع التهديد المعروف باسم Storm-2561، والذي يستغل تقنيات تسميم نتائج البحث (SEO poisoning) لتوزيع عملاء VPN مزيفين بهدف سرقة بيانات الاعتماد من المستخدمين والجهات المؤسسية.
انتشار عبر نتائج البحث واستغلال العلامات التجارية
بدأت الحملة في منتصف يناير 2026، حيث لاحظت فرق مايكروسوفت الأمنية إعادة توجيه المستخدمين الباحثين عن برامج VPN أصلية إلى مواقع مزيفة تستضيف ملفات مضغوطة (ZIP) تحتوي على مثبتات MSI موقعة رقمياً. هذه الملفات تتنكر في صورة برامج VPN موثوقة، لكنها في الحقيقة تقوم بتحميل مكتبات DLL خبيثة تعمل على جمع بيانات الدخول.
اللافت أن المهاجمين استهدفوا مستخدمين يبحثون عن منتجات لشركات معروفة مثل SonicWall وIvanti Secure Access، مستغلين ثقة المستخدمين في العلامات التجارية ونتائج البحث المتقدمة على محركات مثل Bing.
خلفيات الحملة وتطورها
تم توثيق نشاط Storm-2561 لأول مرة في مايو 2025 من قبل شركة Cyjax، حيث رُصد استخدامه لتقنيات تسميم نتائج البحث لنشر أداة Bumblebee loader. وفي أكتوبر 2025، كشفت شركة Zscaler عن نسخة جديدة من الهجوم استهدفت الباحثين عن برنامج Ivanti Pulse Secure عبر موقع مزيف باسم “ivanti-vpn[.]org”، والذي كان يوزع نسخة مزورة من عميل VPN بهدف سرقة بيانات الدخول.
هذا التطور يوضح أن Storm-2561 يعمل وفق استراتيجية متكررة تقوم على استغلال ثقة المستخدمين في نتائج البحث، مع تحديث أدواته وأساليبه بشكل دوري لزيادة فرص النجاح.
استغلال منصات موثوقة مثل GitHub
من أبرز ما كشفته مايكروسوفت أن المهاجمين استخدموا GitHub كمستودع لنشر الملفات الخبيثة، حيث استضافوا ملفات ZIP تحتوي على مثبتات VPN مزيفة. هذه الملفات كانت موقعة رقمياً باسم شركة صينية تدعى “Taiyuan Lihua Near Information Technology Co., Ltd.”، قبل أن يتم إبطال الشهادة لاحقاً.
البرمجية الخبيثة تعرض للمستخدم واجهة تسجيل دخول VPN مقنعة، وعند إدخال البيانات يتم حفظها وإرسالها إلى المهاجمين باستخدام نسخة معدلة من أداة سرقة المعلومات المعروفة باسم Hyrax. بعد ذلك، يُعرض على الضحية رسالة خطأ ويُعاد توجيهه إلى الموقع الشرعي، في محاولة لإخفاء آثار الاختراق.
توصيات أمنية لمواجهة التهديد
أكدت مايكروسوفت أن هذه الحملة تحمل سمات واضحة لجرائم إلكترونية ذات دوافع مالية، مشيرة إلى أن المهاجمين يعتمدون على تقنيات الإقناع البصري والرقمي لخداع المستخدمين. وللتصدي لهذه التهديدات، أوصت المؤسسات والمستخدمين بضرورة:
- تفعيل المصادقة متعددة العوامل (MFA) على جميع الحسابات.
- الحذر عند تحميل البرامج، والتأكد من أن المصدر هو الموقع الرسمي للشركة.
- مراقبة أي شهادات رقمية غير متوقعة أو مشبوهة.
- تعزيز الوعي الأمني لدى الموظفين بخطر SEO poisoning كأداة للهندسة الاجتماعية.
إن حملة Storm-2561 تمثل مثالاً صارخاً على كيف يمكن أن تتحول ثقة المستخدمين في محركات البحث والمنصات الموثوقة إلى نقطة ضعف إذا لم تُدعم بوعي أمني وإجراءات وقائية صارمة.
