أفاد تقرير صادر عن Cisco Talos أن جهات تهديد بدأت باستغلال قنوات الإشعارات المدمجة في منصات التعاون الشهيرة مثل GitHub وJira لإرسال رسائل تصيّد واحتيال. هذه الرسائل، التي تُرسل عبر البنية التحتية الشرعية للمنصات نفسها، يصعب على أنظمة الحماية البريدية حجبها أو تصنيفها كرسائل مشبوهة. على سبيل المثال، ميزة “Invite Customers” في Jira تُستخدم كوسيلة لإرسال دعوات مزيفة تبدو وكأنها صادرة من النظام نفسه.
حملة STAC6405: من الدعوات إلى أدوات الإدارة عن بُعد
تزامن هذا التطور مع حملة تصيّد واسعة تُعرف باسم STAC6405 بدأت منذ أبريل 2025، حيث يتم إرسال دعوات من حسابات بريدية مخترقة تقود الضحايا إلى تثبيت أدوات إدارة ومراقبة عن بُعد شرعية مثل LogMeIn Resolve. في إحدى الحالات، استغل المهاجمون تثبيتاً مسبقاً لبرنامج ScreenConnect لتنزيل ملف مضغوط محمي بتقنية HeartCrypt، والذي أدى في النهاية إلى تثبيت برمجية خبيثة متوافقة مع ValleyRAT.
أساليب متنوعة لاستهداف الضحايا
الحملة لم تقتصر على أسلوب واحد، بل شملت عدة تقنيات:
- رسائل بريدية تحمل طابع المشتريات، تقود المستخدمين إلى ملفات PDF مستضافة على السحابة تحتوي على روابط مخفية تؤدي إلى صفحات تصيّد على Dropbox.
- ملفات تنفيذية متنكرة في صورة إشعارات انتهاك حقوق النشر، تُستخدم لتثبيت برمجية PureLogs Stealer ضمن حملة متعددة المراحل.
- منشورات على Reddit تروّج لإصدارات مزيفة من خدمة TradingView Premium، والتي تعمل كقناة لنشر برمجيات Vidar Stealer وAtomic Stealer لاستهداف أنظمة Windows وmacOS.
التلاعب بالمجتمعات الرقمية
بحسب شركة Hexastrike، يقوم المهاجمون بإدارة منشوراتهم على Reddit بشكل مباشر، حيث يضيفون تعليقات من حسابات متعددة لإيهام المستخدمين بوجود مجتمع نشط وموثوق. الأخطر أن أي تعليق حقيقي يكشف أن الملفات تحتوي على برمجيات خبيثة يتم حذفه خلال دقائق، ما يعكس أن العملية مراقبة بشكل يدوي ودقيق.
التداعيات الأمنية
هذه الحملات تكشف عن تحول خطير في أساليب التصيّد، حيث لم يعد المهاجمون يعتمدون على رسائل بريدية تقليدية فقط، بل أصبحوا يستغلون منصات شرعية وموثوقة لتجاوز أنظمة الحماية. كما أن استخدام أدوات شرعية مثل RMM يزيد من صعوبة اكتشاف الهجمات، ويمنح المهاجمين قدرة على السيطرة الكاملة على الأجهزة المستهدفة.
