يستخدم مجرمو الإنترنت منصة Google Cloud Storage، وهي خدمة تخزين سحابي موثوقة، لاستضافة صفحات تصيد احتيالي تهدف إلى توزيع برمجيات خبيثة. يأتي هذا التكتيك الجديد في وقت تشهد فيه حملات التصيد الاحتيالي نمواً متزايداً، مما يستدعي يقظة أكبر من قبل المستخدمين والمتخصصين في الأمن السيبراني.
تعتمد هذه الحملات على الاستفادة من سمعة Google لتجاوز إجراءات الأمان الإلكتروني التقليدية. وبدلاً من بناء مواقع ويب مشبوهة، يقوم المهاجمون الآن باستغلال البنية التحتية السحابية لجعل هجماتهم تبدو أكثر شرعية وأقل عرضة للكشف.
حملات التصيد الاحتيالي عبر Google Cloud Storage
تبدأ هذه الهجمات بإرسال رسائل بريد إلكتروني تصيدية تحتوي على روابط لمواقع وهمية يتم استضافتها على نطاق storage.googleapis.com. هذه المواقع تحاكي واجهات تسجيل الدخول الرسمية لخدمات Google، مثل Google Drive، مع استخدام شعارات وأيقونات شبيهة لتضليل المستخدمين.
يُطلب من الضحايا إدخال بيانات اعتماد تسجيل الدخول الخاصة بهم، بما في ذلك اسم المستخدم وكلمة المرور ورمز التحقق لمرة واحدة. الهدف هو سرقة هذه المعلومات لاستخدامها في الوصول غير المصرح به إلى حساباتهم.
بعد إدخال البيانات، يتم توجيه المستخدم لتنزيل ملف JavaScript بعنوان Bid-P-INV-Document.js. هذا الملف هو نقطة البداية لسلسلة العدوى التي تؤدي في النهاية إلى تثبيت برمجيات خبيثة على جهاز الضحية.
القلق من تفاقم التهديدات السيبرانية
وفقاً لتقرير اتجاهات البرمجيات الخبيثة السنوي لعام 2025 من ANY.RUN، أصبحت حملات التصيد الاحتيالي التي تستخدم خدمات التخزين السحابي الموثوقة هي المتجه الهجومي السائد. وشهدت برامج الوصول عن بعد (RATs) زيادة بنسبة 28%، بينما ارتفعت برامج الأبواب الخلفية (backdoors) بنسبة 68% مقارنة بالعام السابق.
في أبريل 2026، اكتشف فريق أبحاث التهديدات في ANY.RUN حملة محددة تستغل نطاقات فرعية تابعة لـ googleapis.com مثل pa-bids و com-bid. وقد سمح استغلال بنية Google التحتية التحتية بهذه الحملة بالعمل دون إثارة الإنذارات على فلاتر البريد الإلكتروني والأمان الويب المعتمدة على سمعة النطاقات.
برنامج Remcos RAT: التهديد النهائي
الحملة تستهدف توزيع برنامج Remcos RAT، وهو برنامج وصول عن بعد تجاري يمنح المهاجمين سيطرة كاملة ومستمرة على الأجهزة المخترقة. بمجرد تثبيته، يمكن لـ Remcos تسجيل ضغطات المفاتيح، وسرقة بيانات الاعتماد من المتصفحات ومديري كلمات المرور، والتقاط لقطات شاشة، والوصول إلى الميكروفون وكاميرا الويب، ومراقبة محتويات الحافظة، ونقل الملفات عن بعد.
يقوم البرنامج بتثبيت نفسه بشكل دائم في سجل ويندوز لضمان بقائه بعد إعادة التشغيل. هذا يعني أن نقطة نهاية واحدة مخترقة يمكن أن تصبح منصة انطلاق لهجمات أخرى مثل برامج الفدية (ransomware) وسرقة البيانات والتسلل إلى الشبكات الداخلية.
يشكل هذا التهديد خطراً مزدوجاً؛ فبخلاف فقدان بيانات اعتماد حساب Google، ينتهي الأمر بوجود أداة تجسس تعمل بصمت على جهاز الضحية. تجعل سرقة بيانات الاعتماد مع إمكانية الوصول عن بعد من نقرة تصيد واحدة تهديداً أمنياً خطيراً.
آلية العدوى متعددة المراحل
تتميز سلسلة العدوى في هذه الحملة بتصميمها المتعدد المراحل، مما يساعد على التهرب من الكشف في كل خطوة. يبدأ الأمر بعد تشغيل ملف JavaScript، حيث يتم تأخير التنفيذ لبعض الوقت، وهي خدعة تهدف إلى خداع أدوات التحليل الآلي التي تعمل ضمن نطاق زمني محدود.
ثم يقوم البرنامج النصي بتشغيل مرحلة Visual Basic Script، التي تقوم بتنزيل وتشغيل ملف VBS ثاني. هذا الملف يقوم بإنشاء ملفات في المسار %APPDATA%WindowsUpdate ويقوم بتكوين ثبات بدء التشغيل لضمان استمرار عمله بعد إعادة تشغيل النظام.
يتولى بعد ذلك برنامج PowerShell النصي المسمى DYHVQ.ps1، والذي يقوم بتحميل ملف تنفيذي مشفر مخزن باسم ZIFDG.tmp. في الوقت نفسه، تقوم سلسلة العدوى بجلب محمل Net مشفر من Textbin، وهو خدمة عامة لاستضافة النصوص، ويتم تحميله مباشرة في الذاكرة عبر Assembly.Load، مما لا يترك آثاراً قابلة للفحص من قبل برامج مكافحة الفيروسات على القرص.
بعد ذلك، يستغل محمل Net ملف RegSvcs.exe، وهو ملف ثنائي موقع من Microsoft، لحقن حمولة Remcos عبر تقنية “process hollowing”. ونظراً لأن RegSvcs.exe يمتلك سمعة نظيفة على VirusTotal، تبدو هذه المرحلة طبيعية بالكامل لمعظم أدوات الحماية، مما يجعلها غير مرئية تقريباً دون مراقبة سلوكية.
ينصح فرق الأمن بمعاملة أي رابط من storage.googleapis.com بحذر مساوٍ لأي نطاق غير معروف، حيث أن الثقة باسم المنصة لا تضمن محتوى آمناً. وتعد أدوات التحليل السلوكي التي تراقب النشاط بعد النقر أكثر فعالية من الكشف المعتمد على التوقيعات وحدها.
يجب تدريب الموظفين، خاصة في الأقسام المالية والمشتريات والقيادية، على التعرف على أساليب التصيد الاحتيالي عبر التخزين السحابي وعدم تنزيل الملفات من نوافذ تسجيل الدخول غير المتوقعة. وينبغي دائماً اختبار ملفات JavaScript والملفات النصية المشبوهة في بيئة معزولة قبل تشغيلها على أي نظام إنتاجي.