كشفت شركة مايكروسوفت يوم الخميس عن إبطال أكثر من 200 شهادة رقمية مزيفة استخدمها فاعل تهديد تُعرفه الشركة باسم Vanilla Tempest لتوقيع برمجيات خبيثة ضمن هجمات فدية متطورة.
وأوضحت وحدة استخبارات التهديدات في مايكروسوفت أن تلك الشهادات استُخدمت لتوقيع ملفات تثبيت مزيّفة لتطبيق Microsoft Teams، كانت تُستخدم لنشر بابٍ خلفي يُعرف باسم “Oyster”، والذي مهّد الطريق لاحقًا لتنفيذ هجمات فدية Rhysida.
تعطيل الحملة وتحديث آليات الحماية
أكدت مايكروسوفت أنها تمكنت من إحباط النشاط الخبيث مطلع أكتوبر الجاري بعد رصده أواخر سبتمبر 2025، مشيرةً إلى أن أنظمتها الأمنية جرى تحديثها لاكتشاف التوقيعات الرقمية المرتبطة بملفات التثبيت المزوّرة وباب Oyster وفدية Rhysida.
خلفية مجموعة Vanilla Tempest
تُعد Vanilla Tempest – المعروفة سابقًا باسم Storm-0832 وتُعرف أيضًا بأسماء Vice Society وVice Spider – من المجموعات الإجرامية ذات الدوافع المالية النشطة منذ يوليو 2022 على الأقل. وقد ارتبطت هذه الجهة بتوزيع عدة سلالات من برمجيات الفدية، منها BlackCat وQuantum Locker وZeppelin وRhysida.
آلية الهجوم عبر محركات البحث
أما الباب الخلفي Oyster – المعروف أيضًا باسم Broomstick وCleanUpLoader – فيُوزّع عادةً عبر مثبّتات مزيّفة لبرامج شهيرة مثل Google Chrome وMicrosoft Teams، حيث تُنشأ مواقع وهمية تتصدر نتائج البحث في Google وBing لخداع المستخدمين.
وفي هذه الحملة تحديدًا، استخدمت Vanilla Tempest ملفات تثبيت خبيثة تحمل اسم MSTeamsSetup.exe، استضافتها على نطاقات خبيثة تُحاكي النطاقات الرسمية لمايكروسوفت مثل:
teams-download[.]buzz و teams-install[.]run و teams-download[.]top،
حيث يتم جذب الضحايا عبر تقنيات تحسين نتائج البحث (SEO poisoning) ليقوموا بتحميل الملفات الخبيثة دون علمهم.
توقيع الشهادات واستغلال الثقة
أشارت مايكروسوفت إلى أن المهاجمين استخدموا خدمات توقيع موثوقة مثل Trusted Signing وSSL.com وDigiCert وGlobalSign لتوقيع هذه الملفات، ما منحها مظهرًا شرعيًا يصعب كشفه.
وكانت شركة Blackpoint Cyber أول من كشف تفاصيل الحملة الشهر الماضي، موضحةً كيف كان المستخدمون الباحثون عن تطبيق Teams يُعاد توجيههم إلى صفحات تحميل مزيفة تُقدّم نسخة خبيثة من التطبيق بدلاً من الأصلية.
استغلال الثقة الرقمية
تؤكد هذه الحادثة استمرار استغلال مجرمي الإنترنت لثقة المستخدمين في نتائج محركات البحث والعلامات التجارية المعروفة لتسهيل الاختراق الأولي عبر برمجيات مموهة، في نمط يتكرر مع تصاعد حملات التسميم الإعلاني ومحاكاة البرمجيات الشرعية.
وللحد من هذه المخاطر، تُوصي الشركات الأمنية المستخدمين بتحميل البرمجيات فقط من المواقع الرسمية الموثوقة وتجنب الضغط على الروابط المشبوهة التي تظهر عبر الإعلانات المدفوعة في محركات البحث.
