كشف باحثون أمنيون عن حملة قرصنة جديدة تستغل نماذج جوجل (Google Forms) الموثوقة كوسيلة لنشر برمجيات خبيثة، تحديداً حصان طروادة للوصول عن بعد يُعرف باسم PureHVNC. تستهدف الحملة المهنيين عبر عروض عمل وهمية وملفات مشبوهة، مما يعرض بياناتهم وأنظمتهم للخطر.
تعتمد الهجمات الجديدة على خداع المستخدمين عبر إرسال روابط لمستندات وصيغ بحث عن عمل تبدو مشروعة، تصل إلى المستخدمين غالباً عبر منصة لينكد إن (LinkedIn). بعد تقديم البيانات المطلوبة في النموذج، يتم توجيه الضحية لتحميل ملف مضغوط (ZIP) يحتوي على البرمجية الخبيثة.
حملة اختراق جديدة تستغل نماذج جوجل (Google Forms)
تتميز هذه الحملة المبتكرة في أساليبها، حيث يختار المهاجمون القنوات غير المتوقعة لبدء سلسلة العدوى. تبدأ العملية بإنشاء نماذج جوجل (Google Forms) تبدو كأنها جزء من عملية توظيف أو إجراءات عمل رسمية، وتطلب معلومات مهنية ضرورية مثل الخبرة السابقة.
وبمجرد تقديم هذه المعلومات، يجد المستخدم نفسه موجهاً إلى ملف مضغوط (ZIP) يتم استضافته على منصات تخزين سحابي شائعة أو عبر خدمات تقصير الروابط. غالباً ما تستخدم هذه الملفات أسماء تدل على وثائق عمل أو مشاريع، مثل “ملخص معلومات المشروع” أو “استراتيجية التسويق لـ [اسم شركة]”.
تقمص شخصيات شركات كبرى
وفقاً لتحليلات أجرتها شركة Malwarebytes، قام المهاجمون بانتحال شخصيات شركات معروفة في قطاعات مالية، لوجستية، تقنية، واستدامة. تتضمن هذه التكتيكات استخدام أسماء الشركات، شعاراتها، وتصميمها البصري لجعل الاحتيال يبدو أكثر واقعية وصعوبة في الكشف.
يهدف استخدام هذه الأسماء والعلامات التجارية المألوفة إلى بناء الثقة مع الضحية، مما يزيد من احتمالية قيامه بتحميل الملف المشبوه وفتحه. هذا التزييف يجعل من الصعب على المستخدم العادي التمييز بين المحتوى الأصلي والمحتوى الخبيث.
PureHVNC: البرمجية الخبيثة والتأثيرات
PureHVNC هو حصان طروادة للوصول عن بعد (RAT) متطور، يسمح للمهاجمين بالتحكم الكامل في النظام المصاب. يمكن للمهاجمين تنفيذ أوامر، سرقة البيانات الحساسة من المتصفحات، محافظ العملات المشفرة، وتطبيقات المراسلة مثل تيليجرام. كما يمكنه جمع معلومات تفصيلية عن النظام والبرمجيات المثبتة.
تُستخدم تقنيات متقدمة لتشفير وإخفاء أوامر البرمجية الخبيثة. يتم إرسال أوامر التحكم والسيطرة (C2) إلى خادم محدد، مما يسمح بتحديث البرمجية وتنفيذ هجمات إضافية. هذه القدرات تجعل من PureHVNC تهديداً خطيراً للأفراد والمؤسسات.
آلية العدوى متعددة المراحل
تعتمد سلسلة العدوى في هذه الحملة على عدة مراحل متتالية، مصممة لتجنب الكشف من قبل برامج الأمان. بعد فك ضغط الملف، يجد الضحية ملفات ذات صلة بالوظيفة، بالإضافة إلى ملف تنفيذي مخفي وDLL. يحاول هذا الـ DLL تنفيذ الشفرة الخبيثة عبر تقنية تسمى “اختطاف DLL”، مما يجعله يعمل ضمن سياق تطبيق شرعي.
يقوم الـ DLL بعد ذلك بإزالة نفسه من القرص، وإنشاء ملف PDF وهمي لصرف انتباه المستخدم، وتثبيت آلية استمرارية عبر سجل النظام. في المرحلة التالية، يتم استخراج ملف مضغوط آخر يحتوي على شفرة أكبر يتم تشغيلها في الذاكرة دون أن يتم اكتشافها على القرص.
تُستخدم شفرة Donut shellcode لحقن البرمجية الخبيثة PureHVNC في عملية ويندوز شرعية تدعى SearchUI.exe. هذا التكتيك يزيد من صعوبة اكتشاف البرمجية، حيث تبدو كجزء طبيعي من النظام.
لضمان البقاء على النظام، تقوم البرمجية بإنشاء مهمة مجدولة عبر سطر أوامر PowerShell مشفر، مما يسمح لها بالعمل حتى بعد إعادة تشغيل الجهاز. يجب على المستخدمين توخي الحذر الشديد عند التعامل مع نماذج جوجل، خاصة تلك التي تطلب معلومات شخصية أو تقود لتحميل ملفات.