مايكروسوفت تحذر من هجمات تصيد ضريبية عبر البريد الإلكتروني تستخدم ملفات PDF ورموز QR لنشر برمجيات خبيثة

حذرت شركة مايكروسوفت من عدة حملات تصيد احتيالي عبر البريد الإلكتروني تستغل موضوعات ضريبية لنشر برمجيات خبيثة وسرقة بيانات اعتماد المستخدمين.

وأوضحت مايكروسوفت في تقرير تم مشاركته مع The Hacker News أن “هذه الحملات تستخدم أساليب إعادة التوجيه مثل اختصارات الروابط (URL Shorteners) ورموز QR المضمنة في مرفقات خبيثة، وتستغل خدمات مشروعة مثل خدمات استضافة الملفات وصفحات الملفات التجارية لتفادي الاكتشاف”.

ومن أبرز جوانب هذه الحملات أنها تؤدي إلى صفحات تصيد يتم تقديمها من خلال منصة تصيد كخدمة (Phishing-as-a-Service – PhaaS) تُعرف باسم RaccoonO365، وهي منصة إلكترونية إجرامية ظهرت لأول مرة في ديسمبر 2024.

كما تُستخدم في هذه الهجمات أدوات تحكم عن بعد (Remote Access Trojans – RATs) مثل Remcos RAT، إلى جانب برمجيات خبيثة أخرى وأطر ما بعد الاستغلال مثل Latrodectus وAHKBot وGuLoader وBruteRatel C4 (BRc4).

تفاصيل حملة تصيد ضريبي بارزة

رصدت مايكروسوفت حملة في 6 فبراير 2025 يُعتقد أنها أرسلت مئات الرسائل الإلكترونية تستهدف المستخدمين في الولايات المتحدة قبيل موسم تقديم الإقرارات الضريبية، وهدفت إلى نشر BRc4 وLatrodectus. وقد نسب هذا النشاط إلى مجموعة تهديد تُعرف باسم Storm-0249، والتي اشتهرت سابقًا بتوزيع أدوات مثل BazaLoader وIcedID وBumblebee وEmotet.

تشمل هذه الهجمات استخدام مرفقات بصيغة PDF تحتوي على رابط مختصر من خلال خدمة Rebrandly، يؤدي في النهاية إلى صفحة مزيفة من DocuSign توهم المستخدم بإمكانية عرض أو تحميل المستند.

عند النقر على زر “تنزيل”، يتم تقييم عنوان IP ونظام المستخدم، وفي حال السماح بالوصول، يُرسل ملف JavaScript يقوم بتنزيل ملف MSI لتثبيت BRc4، والذي يعمل بدوره على نشر Latrodectus. أما إذا لم يكن الضحية هدفًا ذا قيمة، فيُرسل إليه ملف PDF غير ضار من نطاق royalegroupnyc[.]com.

حملة ثانية تستهدف أكثر من 2300 جهة أميركية

كشفت مايكروسوفت أيضًا عن حملة تصيد ثانية بين 12 و28 فبراير 2025 استهدفت أكثر من 2,300 مؤسسة في الولايات المتحدة، خصوصًا في قطاعات الهندسة وتكنولوجيا المعلومات والاستشارات.

في هذه الحملة، لم تتضمن الرسائل أي نص في الجسم، بل مرفق PDF يحتوي على رمز QR يشير إلى رابط تابع لـ RaccoonO365 ويحاكي صفحات تسجيل الدخول إلى Microsoft 365 لخداع المستخدمين وسرقة بياناتهم.

حملات متنوعة تستغل موضوع الضرائب لنشر برمجيات ضارة

رُصدت حملات أخرى تنشر برمجيات مثل AHKBot وGuLoader:

AHKBot: توجه المستخدمين إلى موقع يستضيف ملف Excel خبيث. عند فتح الملف وتفعيل وحدات الماكرو، يتم تنزيل ملف MSI لتشغيل سكريبت AutoHotKey يقوم بالتقاط لقطات شاشة وإرسالها إلى خادم بعيد.
GuLoader: تُرفق روابط في ملفات PDF تُنزل ملفًا مضغوطًا يحتوي على ملفات .lnk تبدو كمستندات ضريبية. عند تنفيذها، تستخدم PowerShell لتنزيل ملف PDF وملف .bat يقوم بتثبيت GuLoader، الذي يثبت بدوره Remcos.

تكتيكات حديثة في حملات Storm-0249

حذرت مايكروسوفت أيضًا من حملة أخرى لـ Storm-0249 تستغل إعلانات مزيفة لنظام Windows 11 Pro عبر مواقع مزورة، يُعتقد أن حركة المرور إليها تم توليدها عبر فيسبوك، لنشر نسخة محدثة من Latrodectus من خلال أداة BruteRatel.

أحدث نسخة من Latrodectus (الإصدار 1.9، فبراير 2025) أعادت استخدام مهام مجدولة للحفاظ على الاستمرارية، وأضافت أمرًا جديدًا يتيح تنفيذ أوامر Windows عبر cmd.exe.

تصاعد في استخدام رموز QR في حملات التصيد

وفقًا لتقرير من Palo Alto Networks Unit 42، يعتمد المهاجمون بشكل متزايد على رموز QR المضمنة في مستندات التصيد لتجنب ربط المستخدم مباشرة بنطاقات خبيثة، باستخدام آليات إعادة التوجيه أو روابط مفتوحة على مواقع مشروعة.

أبرز تقنيات وهجمات التصيد المكتشفة مؤخرًا:

استخدام تقنية المتصفح داخل المتصفح (BitB) لخداع لاعبي Counter-Strike 2 وسرقة حساباتهم
استخدام برمجيات سرقة المعلومات لاختراق حسابات MailChimp لإرسال رسائل جماعية
استخدام ملفات SVG لتجاوز فلاتر البريد العشوائي وتوجيه المستخدمين إلى صفحات تسجيل دخول مزيفة
استغلال خدمات موثوقة مثل Adobe وDocuSign وDropbox وCanva وZoho لتفادي بوابات البريد الإلكتروني الآمن وسرقة بيانات الاعتماد
رسائل تصيد تنتحل خدمات بث موسيقى مثل Spotify وApple Music
تحذيرات أمنية زائفة على مواقع مزورة لخداع المستخدمين وتسريب بيانات أجهزتهم
مواقع مزورة توزع مثبتات Windows تحتوي على برامج RAT خبيثة مثل Gh0st RAT
رسائل بريد تصيدية موجهة للشركات الإسبانية لنشر برنامج تجسس يُعرف باسم DarkCloud
تصيد موجه لمنظمات رومانية باستخدام بنك مزيف لنشر Masslogger