كشف تقرير صادر عن Push Security أن جهات تهديد سيبرانية بدأت باستخدام صفحات تصيّد من نوع Adversary-in-the-Middle (AitM) للاستيلاء على حسابات TikTok for Business، وذلك عبر تقنيات متقدمة لتجاوز آليات الحماية مثل Cloudflare Turnstile.
حسابات الأعمال هدف مربح
تُعد حسابات الأعمال المرتبطة بمنصات التواصل الاجتماعي أهدافاً مغرية للمهاجمين، إذ يمكن استغلالها في حملات malvertising ونشر البرمجيات الخبيثة. وأوضح التقرير أن منصة TikTok استُغلت سابقاً لنشر روابط ضارة وتعليمات هندسة اجتماعية، بما في ذلك نشر أدوات سرقة المعلومات مثل Vidar وStealC وAura Stealer عبر مقاطع فيديو مزيفة بأسلوب “ClickFix”.
آلية الهجوم
تبدأ الحملة بخداع الضحايا للنقر على روابط خبيثة تقودهم إلى صفحات مزيّفة، إما شبيهة بواجهة TikTok for Business أو صفحات تنتحل هوية Google Careers مع خيار جدولة مكالمة لمناقشة فرصة عمل.
بعد ذلك، يتم تمرير المستخدم عبر فحص Cloudflare Turnstile لإبعاد أنظمة الكشف الآلي، ثم تقديم صفحة تسجيل دخول مزيفة مصممة لسرقة بيانات الاعتماد.
البنية التحتية للحملة
تم استضافة صفحات التصيّد على مجموعة من النطاقات الاحتيالية، منها:
- welcome.careerscrews[.]com
- welcome.careerstaffer[.]com
- welcome.careersworkflow[.]com
- welcome.careerstransform[.]com
- welcome.careersupskill[.]com
- welcome.careerssuccess[.]com
- welcome.careersstaffgrid[.]com
- welcome.careersprogress[.]com
- welcome.careersgrower[.]com
- welcome.careersengage[.]com
حملة موازية باستخدام ملفات SVG
في تطور آخر، رصدت شركة WatchGuard حملة تصيّد مختلفة تستهدف مستخدمين في فنزويلا عبر مرفقات SVG تبدو كفواتير أو إيصالات. عند فتح هذه الملفات، تتصل بعناوين URL مختصرة عبر خدمة ja.cat، وتعيد توجيه المستخدمين إلى مواقع مصابة لتنزيل برمجية خبيثة مكتوبة بلغة Go، لها تشابهات مع عينات BianLian ransomware التي وثقتها SecurityScorecard في يناير 2024.
وأكدت WatchGuard أن هذه الحملة تذكير قوي بأن حتى الملفات البسيطة مثل SVG يمكن أن تُستخدم كسلاسل تصيّد تؤدي إلى تثبيت برمجيات فدية خطيرة.
