حذرت جهات أمنية سيبرانية من حملة تصيد احتيالي جديدة تستهدف سرقة بيانات تسجيل الدخول الخاصة بالمستخدمين، وذلك عبر انتحال صفة خدمة Dropbox الشهيرة.
تبدأ الحملة برسائل بريد إلكتروني تبدو مشروعة، تحتوي على مرفقات بصيغة PDF، وتطلب من المستلم تسجيل الدخول للتحقق من الطلبات. تستغل هذه الحملة المنصات السحابية الموثوقة وملفات PDF غير الضارة لإنشاء سلسلة خداع تقود الضحايا إلى صفحة تسجيل دخول وهمية.
ما يجعل هذه الحملة فعالة هو خلو نص البريد الإلكتروني من أي روابط خبيثة، مما يسمح بتجاوزه لعمليات المصادقة مثل SPF وDKIM وDMARC دون إثارة الشبهات.
بعد فتح مرفق PDF، يواجه الضحية رابطاً مضمناً يوجهه إلى ملف PDF آخر مستضاف على خدمة Vercel Blob، وهي بنية تحتية سحابية شرعية.
.webp.jpeg)
تستغل هذه الطبقة المرحلية الثقة التي يضعها المستخدمون في المنصات المعروفة. اكتشف محللو Forcepoint أن ملف PDF يستخدم تقنيات خاصة مثل ضغط FlateDecode وكائنات AcroForm لإخفاء العناصر القابلة للنقر مع الظهور بمظهر آمن لأدوات الفحص.
يقوم المستند المستضاف سحابياً بعد ذلك بإعادة توجيه الضحايا إلى موقع ويب احتيالي ينتحل صفة Dropbox بواجهة تسجيل دخول مألوفة.
.webp.jpeg)
تقوم الصفحة المزيفة بتقليد تصميم Dropbox الأصلي لإقناع المستخدمين بأنهم بحاجة إلى إدخال بيانات اعتمادهم للوصول إلى مستندات مهمة.
عندما يقوم الضحايا بإدخال البريد الإلكتروني وكلمة المرور، يتم التقاط المعلومات على الفور وإرسالها إلى المهاجمين عبر البنية التحتية لمنصة Telegram.
كيف تعمل آلية سرقة بيانات الاعتماد
تحتوي صفحة Dropbox المزيفة على كود JavaScript مخفي يقوم بعدة وظائف خبيثة. عندما يدخل الضحية بيانات اعتماده، يقوم الكود بالتحقق من صحة صيغة البريد الإلكتروني ويجمع كلمة المرور دون أي حد أدنى للطول.
بعد ذلك، يجمع معلومات إضافية عن طريق جلب عنوان IP الخاص بالضحية وتفاصيل الموقع الجغرافي، بما في ذلك المدينة والمنطقة والبلد ومزود خدمة الإنترنت، عبر واجهات برمجة التطبيقات الخارجية.
.webp.jpeg)
تُجمع كل هذه البيانات وترسل في رسالة إلى بوت على Telegram باستخدام معرف بوت ومعرف دردشة مبرمجين مسبقاً.
تحاكي الشيفرة عملية تسجيل الدخول مع تأخير لمدة خمس ثوانٍ قبل عرض رسالة خطأ، مما يجعل الضحايا يعتقدون أنهم أخطأوا في كتابة بيانات اعتمادهم، بينما يكون المهاجمون قد حصلوا بالفعل على المعلومات المسروقة.
تابعونا على Google News، LinkedIn، و X لمزيد من التحديثات الفورية، واجعلوا CSN مصدراً مفضلاً في Google.