كشف باحثون أمنيون عن شبكة توزيع حركة مرور إلكترونية متطورة تستغل نطاقات مضللة تحمل طابعاً تعليمياً لتنفيذ هجمات البرمجيات الخبيثة والتصيد الاحتيالي، مما يسلط الضوء على الأساليب المتزايدة للمجرمين السيبرانيين.
تستخدم هذه العملية، التي يتم تتبعها من خلال مؤشرات البنية التحتية المرتبطة بـ TOXICSNAKE، علامات تجارية تبدو شرعية لمؤسسات جامعية وتعليمية لخداع المستخدمين لدفعهم لزيارة مواقع إلكترونية خبيثة.
تستغل هذه الحيلة الثقة التي يوليها المستخدمون للمنصات التعليمية، مما يجعلها ناقلاً فعالاً للهندسة الاجتماعية لمجرمي الإنترنت الذين يديرون عمليات برمجيات خبيثة كخدمة.
تركز الحملة الهجومية على آلية توصيل متعددة المراحل مصممة لتوزيع البرمجيات الخبيثة ومحتوى التصيد الاحتيالي وصفحات احتيالية للضحايا.
يبدأ الوصول الأولي عندما يصادف المستخدمون صفحات هبوط تحمل علامات تجارية خادعة تقلّد مؤسسات تعليمية حقيقية. وبمجرد وصول الزوار إلى هذه البوابات التعليمية المزيفة، يقوم رمز جافاسكريبت مشفر تلقائياً بالتنفيذ في متصفحاتهم، مما يبدأ سلسلة العدوى.
يحتوي محمل المرحلة الأولى على مفك تشفير مخفي يبني عنوان URL عن بعد ويحقن رمزاً خبيثاً في الصفحة، بينما يقوم في الوقت نفسه بتخزين علامة تنفيذ لمرة واحدة في تخزين المتصفح لتجنب الكشف المتكرر.
الكشف عن البنية التحتية الخبيثة ذات الطابع التعليمي
حدد محللو Macs-Hit البنية التحتية للبرمجيات الخبيثة بعد استعادة محمل جافاسكريبت من النطاق toxicsnake-wifes[.]com، والذي يعمل كعقدة لنظام توزيع حركة المرور (TDS) مصمم لتوجيه الضحايا نحو حمولات مختلفة بناءً على موقعهم الجغرافي، ونوع الجهاز، ومعلومات المتصفح.
تحاول المرحلة الثانية جلب حمولات في المنبع، على الرغم من أن الباحثين واجهوا أخطاء HTTP 504 أثناء تحليلهم، مما يشير إلى بنية تحتية غير نشطة أو محظورة في وقت التحليل.
كشف التحقيق أن هذه ليست حادثة معزولة، بل هي جزء من مجموعة منسقة من النطاقات التي تشترك في أنماط عمليات أمنية متطابقة. تشمل النطاقات ذات الصلة pasangiklan[.]top، asangiklan[.]top، ourasolid[.]com، refanprediction[.]shop، و xelesex[.]top، جميعها تحمل نفس العلامة التجارية ذات الطابع التعليمي وتعمل من بنية تحتية مماثلة.
البنية التحتية وتكتيكات التهرب
تتم العملية بأكملها عبر مزودي استضافة غير آمنين، وتحديداً HZ Hosting Ltd (ASN AS202015)، الذي يحتفظ بسياسة إساءة استخدام متساهلة.
يتم تسجيل النطاقات الخبيثة باستخدام معلومات WHOIS قابلة للتصرف وتعتمد على خوادم أسماء Regway، وهو نمط شائع بين مجرمي الإنترنت في منطقة رابطة الدول المستقلة. جميع النطاقات تحل إلى عناوين IP ضمن الشبكة 185.33.84.0/23، مع تعيين عنوان IP مخصص لكل نطاق – وهو تكتيك مصمم لتجنب الحظر الواسع النطاق المستند إلى IP.
يستغل المهاجمون توليد الشهادات الآلي من خلال Let’s Encrypt، ويحصلون على شهادات TLS مجانية صالحة لفترات تسعين يوماً. يتيح هذا النهج الاستبدال السريع للنطاقات وتدوير البنية التحتية.
يقوم محمل جافاسكريبت المشفر بتطبيق الترميز لإنشاء معرفات جلسة فريدة لكل زائر، مما يمنع بيئات الأمان من تحليل التهديد بدقة عن طريق توجيه بيئات التحليل المختلفة إلى محتوى حميد مع توصيل الحمولات الفعلية للضحايا الحقيقيين.