تُظهر حملة تصيد احتيالي جديدة تكتيكات مبتكرة تستغل البنية التحتية لخدمة التخزين السحابي من جوجل، بهدف نشر برمجية خبيثة قوية من نوع Remcos RAT. تعتمد هذه الحملة على خداع المستخدمين عبر استغلال الثقة العالية في خدمات جوجل، مما يجعل اكتشافها وحظرها تحدياً كبيراً لأنظمة الأمن التقليدية.
تستخدم الجهات الخبيثة اسم نطاق جوجل الموثوق به (googleapis.com) لاستضافة صفحات HTML ضارة، والتي تحاكي واجهات رسمية لخدمات جوجل الشهيرة مثل Google Drive. هذا التمويه يؤدي إلى إقناع الضحايا بالنقر على الروابط، حيث تبدأ عملية الإصابة تلقائياً.
حملة تصيد احتيالي تستخدم Google Storage لنشر Remcos RAT
كشف محللون في ANY.RUN عن آلية عمل هذه الحملة المتطورة، التي تستفيد من دمج خدمات جوجل السحابية لتجاوز تدابير الأمن السيبراني الاعتيادية. أظهرت تحليلاتهم التقنية أن كل مرحلة في مسار الهجوم مصممة بعناية لتجنب لفت الانتباه.
يتم توصيل رسالة التصيد الاحتيالي الأولية عبر البريد الإلكتروني، وتحتوي على رابط يشير إلى صفحة مستضافة على Google Cloud Storage. عند تفاعل المستخدم مع هذه الصفحة، يتم تشغيل سلسلة من الإجراءات الخبيثة.
برمجية Remcos RAT هي أداة وصول عن بعد نشطة، تُسوق لأغراض مشروعة مثل إدارة الأجهزة، ولكنها تُستخدم بشكل متزايد من قبل مجرمي الإنترنت لأغراض التجسس وسرقة البيانات والسيطرة على الأنظمة. منذ عام 2016، ظلت Remcos RAT تهديداً مستمراً مع تحديثات دورية.
عند نجاح الإصابة، تمنح Remcos RAT المهاجمين تحكماً كاملاً في الجهاز المصاب، بما في ذلك تسجيل بيانات الضغطات، التقاط لقطات الشاشة، إدارة الملفات، والتواصل مع خادم القيادة والتحكم.
تكمن خطورة هذه الحملة في نطاق تأثيرها المحتمل؛ حيث يمكن لأي جهة تتلقى هذا النوع من رسائل البريد الإلكتروني والنقر على الرابط المزيف أن تقع ضحية. وبسبب التشابه البصري مع خدمات جوجل المألوفة، قد لا يدرك حتى المستخدمون المطلعون الخطر القائم.
آلية العدوى متعددة المراحل
بٌنيت سلسلة العدوى لهذه الحملة على عدة مراحل مدروسة، كل منها يهدف إلى تعقيد عملية الكشف وتأخير التحليل. تبدأ العملية برسالة بريد إلكتروني تحتوي على رابط لصفحة HTML تستضيفها خدمة googleapis.com.
تم تصميم هذه الصفحة لتبدو وكأنها واجهة مشاركة ملفات رسمية من Google Drive، مما يشجع المستخدم على النقر على ما يبدو أنه مستند مشترك.
بمجرد تفاعل المستخدم مع الصفحة، يتم تشغيل إعادة توجيه تعتمد على JavaScript أو تنزيل تلقائي لملف مضغوط أو مشفر من بنية تحتية يتحكم بها المهاجم. يحتوي هذا الملف المضغوط على مكون “dropper” يعمل بصمت عبر محركات سكريبت ويندوز، مثل VBScript أو PowerShell.
يقوم هذا المكون بالاتصال بخادم عن بعد لسحب حمولة Remcos RAT النهائية، ويتم حقنها في عملية نظام ويندوز شرعية باستخدام تقنية “process hollowing”. تسمح هذه التقنية للبرمجية الخبيثة بالعمل بالكامل ضمن مساحة ذاكرة تطبيق موثوق به، مما يتجنب الكشف القائم على الملفات.
بعد تثبيت وجودها، تقوم Remcos RAT بإضافة سجلات استمرارية في سجل ويندوز، مما يضمن بقاءها بعد إعادة تشغيل النظام. ثم تنشئ قناة اتصال مشفرة مع خادم المهاجم، لتصبح جاهزة لتلقي الأوامر.
ينصح فرق الأمن السيبراني بمراقبة الاتصالات الصادرة إلى عناوين URL الخاصة بـ googleapis.com التي تقع خارج نطاق العمليات التجارية المعتادة. كما يمكن لفرض سياسات تنفيذ السكريبت، وتفعيل كشف السلوك على الأجهزة الطرفية، وفحص جميع روابط البريد الإلكتروني، أن تقلل بشكل كبير من التعرض للخطر.
يجب تدريب المستخدمين على تجنب النقر على الروابط في رسائل البريد الإلكتروني غير المتوقعة، حتى لو بدت أنها تؤدي إلى منصات موثوقة مثل Google Drive. يجب عليهم أيضاً تأكيد هوية المرسل عبر قناة منفصلة قبل فتح أي ملف مشترك.