كشفت تقارير أمنية حديثة عن ظهور مجموعة قرصنة جديدة تُعرف باسم “Scripted Sparrow”، والتي تنشط عبر ثلاث قارات وتعتمد بشكل كبير على الأتمتة في عملياتها. تستغل هذه المجموعة المتطورة أدوات برمجية لتوليد وإرسال رسائل التصيد الاحتيالي على نطاق واسع، مستهدفة في المقام الأول الشركات والمؤسسات.
تستخدم “Scripted Sparrow” تقنيات متقدمة لخداع الموظفين، حيث تتنكر في هيئة شركات استشارات متخصصة في التدريب التنفيذي والقيادي. تبدأ الهجمات عادةً بإرسال رسائل بريد إلكتروني إلى قسم الحسابات في الشركات المستهدفة. تتضمن هذه الرسائل غالبًا سلسلة ردود وهمية تحاكي محادثة بين مسؤول تنفيذي في الشركة ومورد خارجي، بهدف إضفاء الشرعية على طلبات الدفع.
“Scripted Sparrow” وتكتيكات الأتمتة المتقدمة في الهجمات الإلكترونية
تُركز “Scripted Sparrow” على إرسال فواتير احتيالية تبدو ظاهرياً لأعمال استشارية، مصحوبة بنماذج W-9، وهي وثائق ضرورية للمعاملات المالية في الولايات المتحدة. وتشير التحليلات إلى أن قيمة هذه الفواتير غالبًا ما تكون قريبة من 50,000 دولار أمريكي، تحديداً 49,927.00 دولار، وذلك لتجنب تفعيل تدابير الموافقة المالية ذات المستويات الأعلى.
ومع ذلك، فقد طورت المجموعة مؤخرًا تكتيكاتها لتجاوز المرشحات الأمنية. فبدلاً من إرفاق المستندات الضارة مباشرة، قد تتعمد المجموعة حذفها، مما يدفع المستلم إلى الرد وطلب الملفات المفقودة. هذا التفاعل يبني الثقة قبل تسليم الحمولة النهائية.
تشير التقديرات إلى أن المجموعة ترسل ملايين الرسائل المستهدفة شهريًا، وهو حجم ضخم يوحي بالاعتماد بشكل كبير على أدوات برمجية مؤتمتة لإدارة هذا الكم من المراسلات. على سبيل المثال، كشف تحليل البيانات الوصفية أن 76% من المرفقات التي ترسلها المجموعة بصيغة PDF تم إنشاؤها باستخدام مكتبة Skia/PDF، مما يدل على نهج منظم وبرمجي لإنشاء المستندات.
استراتيجيات الأمن التشغيلي لتضليل الدفاعات
من الجوانب المميزة لـ “Scripted Sparrow” جهودها في التخفي وإخفاء آثارها عبر تدابير أمنية تشغيلية متنوعة. لوحظ أثناء الاشتباكات الدفاعية النشطة أن المجموعة تستخدم ملحقات المتصفح لتزوير معلومات الموقع الجغرافي.
من جهة أخرى، غالبًا ما كشفت هذه المحاولات عن قلة خبرة المجموعة التقنية في مجال بروتوكول سطح المكتب عن بُعد (RDP). فقد بدا أن بعض المهاجمين يعملون من مواقع نائية غير متوقعة، وذلك بسبب ضعف إعداد أدواتهم.
أظهرت مراجعة تحليلية أخرى لبصمات المتصفح المزيد من التناقضات. ففي إحدى الحالات، بدا أن أحد الجهات الفاعلة في التهديد انتقل من سان فرانسيسكو إلى تورنتو في غضون ثوانٍ معدودة، مما يؤكد استخدام برامج إخفاء الموقع.
بالإضافة إلى ذلك، كشف فحص تقني لسلاسل لمعرّف وكيل المستخدم (User Agent Strings) عن إدخالات مثل “TelegramBot (like TwitterBot)”. يشير هذا المؤشر تحديدًا إلى أن المجموعة تستخدم تطبيق تيليجرام للتواصل والتنسيق الداخلي.
إن هذه الثغرات التقنية توفر للمدافعين إشارات قيمة لتحديد وحظر البنية التحتية لهذه المجموعة الأمنية بفعالية، مما يمثل خطوة هامة في مواجهة هجمات التصيد الاحتيالي المتزايدة.