كشف باحثون في الأمن السيبراني عن حملة تصيّد خبيثة تستهدف مستخدمي LinkedIn عبر الرسائل الخاصة، حيث يتم استغلال الثقة في المنصة المهنية لإقناع الضحايا بتحميل ملفات ضارة. الهدف الأساسي هو نشر برمجية وصول عن بُعد (RAT) تمنح المهاجمين سيطرة كاملة على الأجهزة المصابة.
بحسب تقرير شركة ReliaQuest، فإن الحملة تعتمد على ملفات معدّة خصيصاً باستخدام تقنية DLL Sideloading، إلى جانب استغلال سكربت مفتوح المصدر بلغة Python مخصص لاختبارات الاختراق، ما يمنح الهجوم مظهراً شرعياً ويصعّب عملية الكشف.
سلسلة العدوى عبر ملفات مضللة
الهجوم يبدأ برسالة موجهة إلى أفراد ذوي قيمة عالية داخل المؤسسات، حيث يتم خداعهم لتنزيل أرشيف ذاتي الاستخراج (WinRAR SFX). عند تشغيله، يقوم الأرشيف باستخراج أربعة مكونات:
- تطبيق قارئ PDF مفتوح المصدر شرعي
- ملف DLL خبيث يتم تحميله عبر التطبيق الشرعي
- نسخة محمولة من مفسر Python
- ملف RAR يُستخدم كطُعم لإبعاد الشبهات
بمجرد تشغيل تطبيق الـPDF، يتم تحميل ملف DLL الضار، ليبدأ بتنزيل مفسر Python وإنشاء مفتاح في سجل النظام (Registry Run Key) يضمن تشغيله تلقائياً عند كل تسجيل دخول. المفسر ينفذ شيفرة مشفّرة بـBase64 مباشرة في الذاكرة، ما يمنع ترك آثار رقمية على القرص ويصعّب عملية التحليل الجنائي.
أهداف الهجوم وتوسّع نطاقه
الحمولة النهائية تسعى للتواصل مع خادم خارجي، مما يمنح المهاجمين وصولاً دائماً إلى الجهاز المصاب وقدرة على استخراج البيانات الحساسة. هذه التقنية تتيح لهم:
- تصعيد الامتيازات داخل النظام
- التحرك أفقياً عبر الشبكات المؤسسية
- جمع البيانات وإرسالها إلى خوادمهم
خلال الأسبوع الماضي، تم توثيق ثلاث حملات مشابهة استخدمت تقنية DLL Sideloading لنشر عائلات برمجيات مثل LOTUSLITE وPDFSIDER، إضافة إلى أحصنة طروادة وبرمجيات سرقة بيانات أخرى.
LinkedIn كساحة متكررة للهجمات
ليست هذه المرة الأولى التي يُستغل فيها LinkedIn لنشر هجمات موجهة. في السنوات الأخيرة، استخدمت مجموعات تهديد مرتبطة بكوريا الشمالية المنصة لاستهداف ضحايا عبر عروض عمل وهمية، وإقناعهم بتنفيذ مشاريع خبيثة كجزء من تقييم أو مراجعة كود.
وفي مارس 2025، وثّقت شركة Cofense حملة تصيّد أخرى تستغل إشعارات InMail على LinkedIn لدفع المستخدمين إلى تنزيل برنامج تحكم عن بُعد من تطوير ConnectWise يمنح المهاجمين سيطرة كاملة على الأجهزة.
هذه الأمثلة تؤكد أن منصات التواصل الاجتماعي، رغم أهميتها في بيئات الأعمال، تمثل فجوة أمنية كبيرة، إذ تفتقر إلى أدوات المراقبة الأمنية التي تُطبّق عادة على البريد الإلكتروني، ما يجعل الرسائل الخاصة قناة مثالية للهجمات.
