تواجه الشركات والمنظمات في دولة الإمارات ومنطقة الخليج تحديات متزايدة في مجال الأمن السيبراني، مع ظهور تقنيات جديدة لهجمات التصيد الاحتيالي. شهدت الآونة الأخيرة انتشار برمجيات خبيثة تستغل تقارير أداء الموظفين كطعم لتضليل الضحايا.
تستهدف هذه الهجمات الشائعة، التي تستخدم برمجية Guloader الخبيثة، الموظفين عبر رسائل بريد إلكتروني دعائية تدعي احتواءها على وثائق رسمية تتعلق بتقييم الأداء، مما يشكل تهديدًا جديدًا لأمن المعلومات.
تبدأ العملية عادةً بإرسال بريد إلكتروني يبدو رسميًا، مدعيًا أنه يحتوي على تقرير أداء الموظفين لشهر أكتوبر 2025. يلجأ المهاجمون إلى استخدام لغة تحمل طابع الإلحاح، مثل الإشارة إلى احتمالية إنهاء الخدمة، وذلك لدفع المتلقي إلى فتح المرفق دون تفكير.
تشير تقارير صادرة عن خبراء السايبر إلى أن هذا الأسلوب، الذي يجمع بين الهندسة الاجتماعية واستهداف الثقة داخل بيئة العمل، يمثل وسيلة فعالة لتجاوز دفاعات الأمن التقليدية.
ويحتوي الملف المرفق، بحسب تحليل خبراء ASEC، على أرشيف مضغوط من نوع RAR، بداخله ملف تنفيذي من نوع NSIS باسم “staff record pdf.exe”. إذا كانت إعدادات نظام التشغيل تخفي امتدادات الملفات، فإن هذا الملف التنفيذي سيظهر للمستخدم كملف PDF عادي.
آلية الإصابة متعددة المراحل لبرمجية Guloader
تعتمد برمجية Guloader على آلية معقدة متعددة المراحل لإصابة الأنظمة، مما يجعل اكتشافها أمرًا صعبًا. يقوم الملف التنفيذي، بعد تشغيله، بالاتصال بخادم بعيد لتحميل “shellcode” مشفر من رابط URL مرتبط بخدمة Google Drive.
يتم بعد ذلك حقن هذا الـ “shellcode” مباشرة في ذاكرة النظام، مما يسمح للبرمجية بالعمل دون ترك أي أثر على القرص الصلب. هذه التقنية، التي تعتمد على التنفيذ في الذاكرة فقط، تحد بشكل كبير من قدرة حلول الأمان المعتمدة على فحص الملفات على اكتشاف الإصابة.
الهدف النهائي لهذه الهجمات هو نشر برنامج Remcos RAT، وهو حصان طروادة للوصول عن بعد. يمنح هذا النوع من البرمجيات الخبيثة المهاجمين سيطرة كاملة على الأنظمة المصابة، بما في ذلك القدرة على تسجيل ضربات المفاتيح، والتقاط لقطات شاشة، والتحكم في كاميرات الويب والميكروفونات، بالإضافة إلى سرقة سجلات التصفح وكلمات المرور المحفوظة.
تتواصل البرمجية مع خوادم القيادة والتحكم الموجودة على العنوان “196.251.116[.]219” عبر المنافذ 2404 و 5000. ولحماية المؤسسات من هذه التهديدات، يُنصح بتطبيق قواعد تصفية البريد الإلكتروني لمنع المرفقات المشبوهة، وتعطيل خاصية إخفاء امتدادات الملفات في أنظمة المستخدمين، ونشر حلول متقدمة للكشف عن التهديدات والاستجابة لها على مستوى نقاط النهاية.