رصد باحثو الأمن السيبراني حملة واسعة النطاق تستهدف المستخدمين الباحثين عن أدوات مفتوحة المصدر أو برامج مجانية، حيث تقوم مواقع مزيفة بتقليد بوابات مشاريع معروفة مثل Ghidra و dnSpy و SpiderFoot. هذه الصفحات تبدو شرعية للوهلة الأولى، لكنها تخفي طبقة خبيثة من JavaScript مستضافة على CloudFront، تقوم بتحويل أي نقرة على زر “تحميل” إلى نظام توزيع حركة مرور (Traffic Distribution System – TDS).
وفقًا للباحث أليكسي بختييف من Check Point، فإن الخداع لا يكمن في المحتوى الظاهر فقط، بل في ما يحدث عند التفاعل مع الموقع. إذ يفرض الـ TDS سلسلة من القيود مثل التحقق من أول زيارة، تأكيد النقر، منع الروبوتات وأدوات التحليل، تصفية عناوين VPN ومراكز البيانات، إضافة إلى التحكم في تكرار الدخول.
استغلال محركات البحث ورفع الترتيب
تستهدف هذه الحملة بشكل مباشر المستخدمين الذين يبحثون عن أدوات أمنية أو برمجيات مجانية عبر محركات البحث مثل جوجل. وقد نجحت هذه المواقع المزيفة في الوصول إلى المراتب الأولى في نتائج البحث، متجاوزة المواقع الأصلية للمشاريع. هذا الظهور البارز يمنحها قدرة أكبر على جذب المستخدمين وتحويل حركة المرور إلى بنيتها التحتية الخبيثة.
تشير الأدلة إلى أن النشاط بدأ منذ سبتمبر 2025، بينما أظهرت تقارير سابقة أن المواقع كانت في البداية مجرد وسيلة لجذب حركة المرور، قبل أن يتم إدخال أكواد TDS وتحويلها إلى منصات لتوزيع البرمجيات الخبيثة في يناير 2026.
البرمجيات الخبيثة الموزعة عبر TDS
عند الضغط على زر التحميل، يبدأ المستخدم سلسلة إعادة توجيه تنتهي بتنزيل برمجيات خبيثة. ومن أبرز العينات التي تم رصدها:
- SessionGate: أداة تحميل متعددة المراحل ومموهة، قادرة على تجاوز بيئات التحليل عبر تقديم تجربة تثبيت تبدو شرعية، مثل تثبيت متصفح Opera.
- Remus Stealer: برنامج سرقة معلومات جديد يعمل بنموذج “البرمجيات كخدمة”، قادر على سرقة بيانات من أكثر من 20 متصفحًا، بما في ذلك محافظ العملات الرقمية وأدوات المصادقة الثنائية ومديري كلمات المرور. يُعتقد أنه نسخة مطورة من Lumma Stealer.
- AnimateClipper: أداة خبيثة تستهدف محافظ العملات الرقمية عبر استبدال العناوين المنسوخة في الحافظة، ما يؤدي إلى تحويل الأموال إلى حسابات المهاجمين. تنتشر باستخدام طُعم يُعرف باسم ClickFix.
تشير بيانات VirusTotal إلى تسجيل ما بين 2000 و3500 عينة مرتبطة بـ SessionGate، معظمها من دول مثل تركيا، بولندا، البرازيل، ألمانيا، فرنسا، روسيا والمملكة المتحدة.
أهداف الحملة ودلالاتها الأمنية
الهدف الأساسي لهذه الحملة يبدو أنه اكتساب حركة مرور وتسييلها، لكن إدخال طبقة TDS جعلها جزءًا من سلسلة توزيع يمكن أن تصل إلى جهات تنشر برمجيات خبيثة. هذا المزج بين التسييل الرمادي والتوزيع الخبيث يضاعف خطورة الحملة، إذ يمكن للمستخدم أن يظن أنه يتعامل مع موقع مشروع مفتوح المصدر، بينما يتم توجيهه إلى تحميل برمجيات ضارة.
البنية متعددة المراحل والآليات المعقدة للتحقق تجعل من الصعب على الباحثين الأمنيين تحليل العينات أو الحصول على الحمولة النهائية، التي غالبًا ما تكون ملف DLL يتواصل مع خادم خارجي للحصول على إعدادات مشفرة وتنزيل المرحلة التالية من الهجوم.
