كشفت حملة تصيد احتيالي جديدة تُدعى GTFire عن استغلالها لخدمتين رئيسيتين من خدمات جوجل الموثوقة، وهما Google Translate و Firebase، بهدف سرقة بيانات اعتماد الدخول للمستخدمين حول العالم. هذه الحملة تُمثل تهديداً متزايداً خاصة مع قدرتها على التخفي خلف نطاقات جوجل الرسمية.
تكمن خطورة هذه الحملة في قدرتها على إخفاء النشاط الضار خلف نطاقات مملوكة لجوجل، مما يسمح لروابط التصيد الاحتيالي بتجاوز مرشحات البريد الإلكتروني وبوابات الأمان على الويب دون إطلاق أي تنبيهات. ضحايا الحملة يجدون أنفسهم على صفحات تسجيل دخول مقلدة بدقة لعلامات تجارية معروفة، وبمجرد إدخال بياناتهم، يتم إعادة توجيههم بسلاسة إلى الموقع الرسمي للعلامة التجارية المستهدفة، دون أن يدركوا أن بياناتهم قد سُرقت بالفعل.
يعيش العالم الرقمي حالة تأهب قصوى مع انتشار حملات التصيد الاحتيالي المعقدة، وبرز مؤخراً تهديد شديد يعرف بـ GTFire. وتستغل هذه الحملة خدمات جوجل المعروفة، مثل Firebase و Google Translate، لتجاوز آليات الدفاع السيبراني وسرقة بيانات اعتماد الدخول للمستخدمين. وتُعد هذه الطريقة من أخطر أشكال الهجمات الإلكترونية لقدرتها على خداع المستخدمين بدقة.
حملة GTFire: استغلال خدمات جوجل لسرقة بيانات الاعتماد
تُظهر التحقيقات أن حملة GTFire قد نجحت في سرقة آلاف بيانات الاعتماد، وتؤثر على ما يزيد عن 1000 مؤسسة في أكثر من 100 دولة وما يزيد عن 200 قطاع صناعي. وتتصدر المكسيك قائمة الدول الأكثر تضرراً، حيث سُجلت 385 حالة اختراق، وتتركز معظمها في قطاعات التصنيع والتعليم والحكومة.
وتأتي الولايات المتحدة في المرتبة الثانية بـ 101 ضحية، تليها إسبانيا بـ 67 ضحية، ثم الهند بـ 54 ضحية، والأرجنتين بـ 50 ضحية. وتشير هذه الأرقام إلى الانتشار العالمي الواسع للحملة.
ووفقاً لمحللي Group-IB، فإن الحملة منظمة على نطاق واسع وتعتمد على تقنيات متقدمة لحصاد بيانات الاعتماد. حيث يقوم المهاجمون بإعادة استخدام قوالب التصيد الاحتيالي عبر استهداف علامات تجارية متعددة بأقل قدر من التغيير، مما يضمن سير عملية جمع البيانات بشكل منهجي.
وتُظهر التحليلات وجود مراكز تحكم وخوادم مركزية تخزن البيانات المسروقة بطريقة منظمة، مفصولة حسب التاريخ واللغة والخدمة المستهدفة. وقد تم تحديد أكثر من 120 نطاق تصيد احتيالي فريد، جميعها تتبع أنماط تسمية عالية الحجم تهدف إلى تمكين التدوير السريع للبنية التحتية.
وتُظهر حملة GTFire الواقع المثير للقلق للمدافعين في مجال الأمن السيبراني، حيث يمكن استخدام البنية التحتية الموثوقة لشن هجمات فعلية بأقل جهد. وتكافح فحوصات سمعة عناوين URL التقليدية وقوائم الحظر الثابتة لاكتشاف روابط التصيد الاحتيالي المستضافة على نطاقات مملوكة لجوجل.
آلية عمل حملة GTFire
تبدأ عملية الهجوم عندما يتلقى الضحية رسالة تصيد احتيالي تحتوي على رابط Google Translate (translate.goog). يعمل هذا الرابط كقناة اتصال غير مرئية، تقوم بتوجيه الطلب عبر البنية التحتية الخاصة ببروكسي الترجمة في جوجل قبل أن يصل الضحية إلى صفحة تصيد احتيالي مستضافة على Firebase.
نظراً لأن الرابط ينتمي إلى نطاق مملوك لجوجل، فإن بوابات الأمان الإلكتروني والمرشحات على الويب نادراً ما تعترضها. تستضيف Firebase صفحات التصيد الاحتيالي النهائية، حيث يقوم المهاجمون بتسجيل عدد كبير من النطاقات الفرعية بأشكال عشوائية (.web.app) ويقومون بتدويرها بشكل متكرر لتجاوز قوائم الحظر.
تقوم كل صفحة بتحميل شعارات العلامات التجارية وحقول تسجيل الدخول ديناميكياً باستخدام إطار عمل تصيد احتيالي قابل لإعادة الاستخدام، مع تغييرات طفيفة فقط في المظهر لكل هدف. وعندما يدخل الضحية اسم المستخدم وكلمة المرور، تعرض الصفحة رسالة خطأ وهمية “كلمة مرور غير صحيحة” وتطلب منهم المحاولة مرة أخرى. يتم التقاط كلا المدخلات بصمت في الخلفية.
تُرسل بيانات الاعتماد المسروقة إلى خوادم التحكم التي يتحكم فيها المهاجمون عبر طلبات HTTP GET، مع تشفير كلمات المرور بترميز Base64 جنباً إلى جنب مع بيانات وصفية تتضمن بلد الضحية ولغة المتصفح. يتم تشغيل الواجهة الخلفية لـ C2 على مثيلات خادم الويب LiteSpeed باستخدام نصوص برمجية لجمع البيانات (All-in-1.php) المستندة إلى PHP، وهي أدوات متاحة تجارياً تقلل من النفقات التشغيلية وتسرع عملية النشر.
توصي فرق الأمن السيبراني بتبني مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي وتدريب الموظفين على التعرف على تقنيات التصيد الاحتيالي التي تستخدم خدمات جوجل. ويجب على فرق الأمن بناء قواعد كشف تميز أنماط عناوين URL التي تجمع بين translate.goog ونطاقات *.web.app، ومراقبة المنصات السحابية الموثوقة لانتحال العلامات التجارية.
يظل تبادل مؤشرات الاختراق، بما في ذلك مؤشرات الاختراق للشبكة (مثل jnhwzs.fyi و gnpnia.lat) ومؤشرات الاختراق للملفات (نصوص برمجية All-in-1.php)، أمراً بالغ الأهمية لاحتواء هذه الحملة.