مايكروسوفت تحذر: حملات تصيّد تنتحل هوية IRS وتستهدف 29 ألف مستخدم ببرمجيات RMM خبيثة

مايكروسوفت تحذر من حملة برمجيات خبيثة عبر واتساب تستهدف ويندوز
مايكروسوفت تحذر من حملة برمجيات خبيثة عبر واتساب تستهدف ويندوز
شارك هذا الخبر

أصدرت فرق Microsoft Threat Intelligence وMicrosoft Defender Security Research تحذيراً من موجة جديدة من حملات التصيّد الإلكتروني التي تستغل موسم الضرائب في الولايات المتحدة. المهاجمون يرسلون رسائل بريد إلكتروني مزيفة تحمل طابعاً رسمياً، مثل إشعارات استرداد ضريبي أو نماذج رواتب أو تذكيرات تقديم الإقرارات، بهدف خداع المستخدمين لفتح مرفقات خبيثة أو الضغط على روابط مشبوهة أو مسح رموز QR.
الحملة لا تستهدف الأفراد فقط، بل تركز أيضاً على المحاسبين والمهنيين الذين يتعاملون مع بيانات مالية حساسة، مما يضاعف من خطورة الهجوم.

أساليب التصيّد المستخدمة

الهجمات تنوعت بين منصات Phishing-as-a-Service (PhaaS) وأدوات وصول عن بُعد شرعية تم إساءة استخدامها، مثل ConnectWise ScreenConnect وDatto وSimpleHelp. أبرز الأساليب المكتشفة:

  • استخدام قوالب محاسبين معتمدين (CPA) لنشر صفحات تصيّد عبر مجموعة Energy365.
  • استغلال رموز QR ونماذج W2 لاستهداف نحو 100 مؤسسة في قطاعات التصنيع والتجزئة والرعاية الصحية، عبر منصة SneakyLog (Kratos).
  • إنشاء نطاقات وهمية مرتبطة بالضرائب لتوزيع ScreenConnect.
  • انتحال هوية IRS عبر إغراءات مرتبطة بالعملات المشفرة، مستهدفين قطاع التعليم العالي.
  • إرسال روابط خبيثة تؤدي إلى تثبيت Datto على أجهزة المحاسبين.
حملة واسعة النطاق

في 10 فبراير 2026، رصدت مايكروسوفت حملة ضخمة أثرت على أكثر من 29 ألف مستخدم في 10 آلاف مؤسسة، معظمهم في الولايات المتحدة. الرسائل زعمت وجود إقرارات ضريبية غير منتظمة مرتبطة برقم تعريف الإيداع الإلكتروني (EFIN)، وطلبت من المستلمين تنزيل أداة مزيفة باسم “IRS Transcript Viewer”.
الرسائل أُرسلت عبر خدمة Amazon SES ووجهت الضحايا إلى موقع smartvault[.]im الذي ينتحل منصة SmartVault، حيث تم تحميل نسخة خبيثة من ScreenConnect تمنح المهاجمين وصولاً كاملاً إلى الأجهزة.

حملات موازية وأساليب جديدة

بالتوازي مع هذه الهجمات، تم رصد حملات أخرى تستغل منصات معروفة أو خدمات شرعية، منها:

  • صفحات مزيفة لـ Google Meet وZoom لتوزيع برمجيات مراقبة مثل Teramind.
  • مواقع تنتحل هوية Avast لسرقة بيانات بطاقات الائتمان.
  • موقع مزيف لـ Telegram لتوزيع مثبتات خبيثة.
  • استغلال إشعارات Azure Monitor لنشر رسائل تصيّد من عناوين رسمية.
  • استخدام ملفات ZIP مزيفة مرتبطة بأدوات الذكاء الاصطناعي أو الألعاب لتوزيع برمجيات مثل Salat Stealer وMeshAgent.
  • حملات تعتمد على إعادة كتابة الروابط عبر خدمات أمنية متعددة لإخفاء الوجهة النهائية.
توصيات الحماية

مايكروسوفت شددت على ضرورة:

  • تفعيل المصادقة الثنائية (2FA) لجميع المستخدمين.
  • تطبيق سياسات وصول مشروطة.
  • مراقبة البريد الإلكتروني والروابط الواردة.
  • منع الوصول إلى النطاقات المشبوهة.
    كما أشار تقرير حديث من Huntress إلى أن إساءة استخدام أدوات RMM الشرعية ارتفعت بنسبة 277% على أساس سنوي، ما يفرض على المؤسسات مراجعة بيئاتها بشكل دوري لرصد أي استخدام غير مصرح به لهذه الأدوات.
وسوم
محمد طاهر
محمد طاهر
المقالات: 1377

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة