هجوم تصيّد ذكي وجديد يعتمد على سكربت جافاسكربت يختار نطاقات عشوائية ويولد معرفات UUID ديناميكيّة، ثم يتواصل مع خوادم لتوليد صفحات تسجيل دخول مزيّفة تُعرض للمستخدم بحسب سياقه. تمّ اكتشاف هذا النشاط لأول مرة في فبراير 2025 ولا يزال مستمراً، ويُستخدم في حملات تصيّد متعددة تستهدف المؤسسات والمستخدمين عبر محاكاة خدمات تعاون معروفة.
ما الذي رُصِد ومتى بدأ الهجوم؟
سجّلت فرق الاستخبارات أن الحملة انطلقت في فبراير 2025 ولاحِقًا تبيّن أنها مستمرة ومتكررة ضمن مجموعات حملات متعدّدة. تعتمد الحملة أساليب آلية ومكررة تسمح بتكرارها بسهولة ضد أهداف مختلفة ومع علامات تجارية مزيّفة متنوعة.
آلية العمل التقنية
تبدأ الحملة بإرسال رسائل بريد إلكتروني تحتوي على مرفقات HTML أو روابط تبدو وكأنها مرسلة من منصات تعاون شهيرة. يحتوي المرفق أو الصفحة على سكربت يقوم باختيار نطاق .org عشوائيًا من قائمة مضمّنة — غالبًا أسماء مولّدة آليًا لتفادي قوائم الحظر — ثم يولد سكربت UUID فريدًا لتتبع الضحايا وتمييز حملات منفصلة. بعد ذلك يرسل السكربت طلب HTTP(s) POST إلى الخادم العشوائي، فيستجيب الخادم بصفحة تسجيل دخول مولّدة ديناميكيًا أو يقوم باستبدال المحتوى داخل الجلسة، ما يسمح بعرض صفحة مزيفة دون أن تمر الحمولة الضارة عبر فحوصات بوابات البريد التقليدية.
لماذا تنجح هذه الوسائل؟ (خلفية سياقية)
نجاح الهجوم يعود إلى مزيج من تقنيات التمويه: النطاقات المولّدة آليًا لتفادي الحظر، UUIDs لتقسيم وتتبع الحملة، وآليات عرض المحتوى المحلي التي تبقي الحمولة خارج نطاق التحليل الساكن. بالإضافة إلى ذلك، يعتمد المهاجمون على انخداع الضحايا بروابط تبدو مألوفة ومنصات موثوقة، ما يزيد فرص النجاح أمام تدابير الحماية التقليدية.
توصيات عملية فورية للتخفيف والوقاية
-
شَدِّد سياسات البوابة الآمنة: حظر أو حجر المرفقات بصيغة HTML أو فتحها داخل بيئة معزولة، ورفع قواعد فحص الروابط التي تزعم أنها من منصات التعاون.
-
اعتمد تحليل السلوك في الوقت الحقيقي داخل المتصفح أو بوابة البريد لمراقبة إنشاء blob URIs أو استبدال الصفحات محليًا.
-
درّب المستخدمين بشكل مستمر على كشف رسائل التصيّد التي تطلب بيانات اعتماد أو تعرض صفحات تسجيل تبدو داخلية، وعلّمهم التحقق من مصدر الطلبات بطرق بديلة.
-
قيّد الوصول إلى خدمات التخزين السحابي عبر البريد، وطبّق سياسات تحقق متعددة العوامل لكل منطق وصول حساس.
-
راقب الطلبات الواردة بحثًا عن UUIDs غير اعتيادية أو نماذج POST مشبوهة، واربط هذه المؤشرات بسلوكيات تسجيل الدخول للتحقق من وجود اختراقات محتملة.
