كشف باحثون في الأمن السيبراني عن حملة تصيّد متطورة اعتمدت على خدمة Application Integration في Google Cloud لإرسال رسائل بريد إلكتروني تبدو شرعية. المهاجمون استغلوا عنواناً رسمياً تابعاً لغوغل (noreply-application-integration@google[.]com) لتجاوز أنظمة الحماية التقليدية مثل DMARC وSPF، ما منح رسائلهم فرصة أكبر للوصول مباشرة إلى صناديق البريد الخاصة بالضحايا.
أسلوب الإقناع والخداع
الرسائل المزيفة صُممت لتشبه إشعارات مؤسسية روتينية مثل تنبيهات البريد الصوتي أو طلبات الوصول إلى ملفات مشتركة. هذا الأسلوب جعلها مألوفة وموثوقة لدى المستلمين. خلال فترة أسبوعين في ديسمبر 2025، أرسل المهاجمون نحو 9,394 رسالة تصيّد استهدفت أكثر من 3,200 عميل في الولايات المتحدة، أوروبا، آسيا-المحيط الهادئ، كندا، وأمريكا اللاتينية.
سلسلة الهجوم متعددة المراحل
جوهر الحملة كان استغلال مهمة Send Email في خدمة Application Integration، والتي تسمح بإرسال إشعارات مخصصة. بعد وصول الرسالة، يبدأ الهجوم عند نقر الضحية على رابط مستضاف في storage.cloud.google[.]com، وهو نطاق موثوق يقلل من الشكوك. الخطوة التالية توجه المستخدم إلى محتوى على googleusercontent[.]com حيث يُعرض اختبار CAPTCHA مزيف لإعاقة أدوات الفحص الآلي، بينما يسمح للمستخدمين الحقيقيين بالمرور. في النهاية، يتم تحويلهم إلى صفحة تسجيل دخول مزيفة تشبه واجهة مايكروسوفت، لكنها مستضافة على نطاق غير تابع لها، بهدف سرقة بيانات الاعتماد.
القطاعات المستهدفة ورد غوغل
التحليل أظهر أن الحملة ركزت على قطاعات التصنيع، التكنولوجيا، الخدمات المالية، الخدمات المهنية، والتجزئة، إضافة إلى قطاعات أخرى مثل الإعلام، التعليم، الصحة، الطاقة، الحكومة، والسفر. هذه القطاعات تعتمد بشكل كبير على الإشعارات الآلية والملفات المشتركة، ما جعل الرسائل ذات العلامة التجارية لغوغل أكثر إقناعاً. في المقابل، أعلنت غوغل أنها أوقفت محاولات الاستغلال وأطلقت إجراءات إضافية لمنع تكرار مثل هذه الهجمات، مؤكدة التزامها بتعزيز حماية خدماتها السحابية.
