بعد العملية الدولية المنسقة التي استهدفت البنية التحتية لحملة التصيّد المعروفة باسم Tycoon 2FA الشهر الماضي، لم يتوقف مشغلو هذه البرمجية الخبيثة عن نشاطهم، بل سرعان ما أعادوا بناء شبكاتهم عبر مزوّدي خدمات جدد. من بين الأسماء التي ظهرت في المشهد: HOST TELECOM LTD، Clouvider، GREEN FLOID LLC، وShock Hosting LLC. اللافت أن مزوّد الخدمة M247 Europe SRL ظلّ مستخدماً قبل وبعد عملية الإطاحة، مما يشير إلى استمرارية الثقة بين المهاجمين وهذا المزود.
ProxyLine كأداة للتمويه وتجاوز الرقابة
أحد أبرز التحولات في هذه الحملة هو الاعتماد المتزايد على خدمة ProxyLine، وهي خدمة بروكسي تجارية تعتمد على مراكز بيانات، يستخدمها المهاجمون لتجاوز أنظمة الكشف المبنية على عناوين الـ IP أو المواقع الجغرافية. هذا الأسلوب يتيح لهم إخفاء مصدر الهجمات وتوزيعها عبر نطاقات جغرافية متعددة، مما يصعّب على فرق الأمن السيبراني تتبع الأنشطة الخبيثة أو حظرها بشكل فعال.
استهداف Gmail باستخدام تقنيات متقدمة
من بين الأهداف الرئيسية لحملة Tycoon 2FA حسابات Gmail، حيث تم رصد استخدام بروتوكول WebSocket في عمليات التواصل بين الضحايا والخوادم الخبيثة. هذه التقنية تمنح المهاجمين القدرة على جمع بيانات الدخول بشكل لحظي، مع تقليل البصمة الرقمية مقارنة بالطرق التقليدية مثل طلبات HTTP POST. النتيجة هي قدرة أكبر على سرقة بيانات الاعتماد دون إثارة إنذارات أمنية مبكرة.
دلالات أمنية على المشهد العالمي
عودة Tycoon 2FA بهذه السرعة بعد الإطاحة ببنيتها التحتية تعكس مرونة شبكات التصيّد وقدرتها على التكيّف مع الضغوط الأمنية. كما أن اعتمادها على خدمات تجارية مثل ProxyLine يثير تساؤلات حول مسؤولية مزوّدي البنية التحتية في مواجهة الاستخدامات الخبيثة لخدماتهم. بالنسبة للمؤسسات والأفراد، فإن هذه التطورات تؤكد ضرورة تعزيز أنظمة الحماية متعددة العوامل، ومراقبة الأنماط غير التقليدية في حركة البيانات، خصوصاً تلك التي تستهدف البريد الإلكتروني.
