“ConsentFix”.. تطور خطير في هجمات التصيد يستهدف حسابات الأعمال عبر الاستغلال المباشر للمتصفح

 "ConsentFix".. تطور خطير في هجمات التصيد يستهدف حسابات الأعمال عبر الاستغلال المباشر للمتصفح
 "ConsentFix".. تطور خطير في هجمات التصيد يستهدف حسابات الأعمال عبر الاستغلال المباشر للمتصفح
شارك هذا الخبر
كشفت شركة “بوش سيكيوريتي” للأمن السيبراني عن تكتيك تصيد جديد أُطلق عليه اسم ConsentFix، يمثل تطوراً ملحوظاً في هجمات “ClickFix” المعروفة. يعتمد هذا الأسلوب على خداع المستخدمين لنسخ ولصق نصوص تحتوي على بيانات اعتماد تفويض OAuth الخاصة بهم في صفحة ويب يتحكم فيها المهاجمون. رُصدت الهجمات تستهدف بشكل خاص حسابات الأعمال في مايكروسوفت، مستغلة بيئة المتصفح نفسها لتجنب الاكتشاف.
كيفية عمل الهجوم: متاهة تبدأ من محرك بحث وتنتهي بسرقة الحساب

يتبع الهجوم سيناريو معقداً ومصمماً بعناية لاستدراج الضحايا:

  1. الاستدراج عبر البحث: يتم توجيه الضحايا أولاً عبر نتائج بحث جوجل إلى مواقع ويب ذات سمعة جيدة ولكنها مُخترقة.

  2. التحدي المزيف: تحتوي هذه المواقع المخترقة على تحدي مزيف لخدمة Cloudflare Turnstile (عادةً ما تستخدم للتحقق من البشر). يعرض هذا التحدي المزيف تعليمات تطلب من الضحية تسجيل الدخول إلى حسابها ولصق عنوان URL.

  3. سرقة رمز التفويض: عندما يتبع الضحية التعليمات ويسجل الدخول، يتم إعادة توجيهه تلقائياً إلى عنوان URL محلي (localhost) يحتوي على رمز تفويض OAuth الخاص بحساب مايكروسوفت الخاص به. هذا الرمز هو المفتاح للوصول إلى الحساب.

  4. الخطوة الحاسمة: تنتهي عملية التصيد عندما يقوم الضحية، بناءً على تعليمات الصفحة المخادعة، بنسخ عنوان URL الكامل الذي يحتوي على الرمز السري ولصقه مرة أخرى في نفس صفحة التصيد، مما يمنح المهاجمين مباشرةً الرمز الذي يحتاجونه للوصول غير المصرح به إلى الحساب.

لماذا يُعتبر “ConsentFix” تطوراً خطراً؟

يتميز هذا الهجوم بعدة خصائص تجعله أكثر خبثاً وتجنباً للكشف مقارنةً بهجمات التصيد التقليدية أو حتى هجمات ClickFix السابقة:

  • الحد الأدنى من البصمة: تحدث العملية بالكامل داخل سياق المتصفح (Browser Context). لا يتم تنزيل أي ملفات ضارة على جهاز الضحية (Endpoint)، مما يلغي أحد فرص الكشف الرئيسية التي تعتمد على مراقبة النشاط المشبوه على الجهاز نفسه.

  • استغلال الثقة: يبدأ الهجوم من مواقع تبدو شرعية وتظهر في نتائج بحث موثوقة، ما يزيد من مصداقية الهجوم في أعين الضحايا.

  • التفاعل المباشر مع الضحية: بدلاً من الاعتماد على الأتمتة الكاملة، يستدرج الهجوم الضحية للقيام بالإجراء بنفسه (النسخ واللصق)، مما يجعل العملية تبدو وكأنها خطوة تحقق طبيعية.

  • التطور عن سابقه: يُعتبر هذا التكتيك تطوراً لهجوم سابق استخدمته قراصنة مدعومون من الدولة الروسية أوائل هذا العام، حيث كان يخدع الضحايا لإرسال رمز OAuth الخاص بهم عبر تطبيقات مراسلة مثل Signal أو WhatsApp. يبسط “ConsentFix” العملية بواسطة حث الضحية على لصق الرمز مباشرة في صفحة الويب الخاصة بالمهاجم.

الفئة المستهدفة وآليات الحماية

تركز الهجمات الحالية على حسابات الأعمال في مايكروسوفت، مستهدفةً بيانات اعتماد Azure CLI. يتطلب التصدي لمثل هذه الهجمات المتطورة رفع مستوى الوعي الأمني، خاصةً فيما يتعلق بـ:

  • التحذير من اتباع تعليمات غير معتادة تطلب نسخ ولصق عناوين URL أو رموز بعد تسجيل الدخول في أي موقع.

  • التأكيد على عدم إدخال أو لصق أي أصول مصادقة (رموز، عناوين URL تحتوي على رموز) في أي صفحة ويب يتم توجيه المستخدم إليها عبر روابط أو حتى نتائج بحث.

  • تشجيع استخدام المصادقة متعددة العوامل (MFA) كطبقة دفاع إضافية، على الرغم من أن هذا الهجوم يستهدف مرحلة ما قبل MAuth (الحصول على رمز التفويض الأولي).

وسوم
محمد طاهر
محمد طاهر
المقالات: 1096

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة