محتالون يهددون منظمات إسرائيلية عبر مستندات وورد وبي دي إف.”

كشف باحثون أمنيون في Seqrite Labs عن حملة تجسس سيبراني جديدة تستهدف المنظمات الإسرائيلية، تُعرف باسم “Operation IconCat”. تعتمد الحملة على استخدام مستندات Word وملفات PDF مصممة ليبدو أنها أدوات مكافحة فيروسات شرعية، في تكتيك يهدف إلى خداع المستخدمين ودفعهم لتنزيل برمجيات خبيثة.

بدأت هذه الحملة في نوفمبر 2025، وقد نجحت في اختراق عدد من الشركات في قطاعات تكنولوجيا المعلومات، وخدمات التوظيف، وتطوير البرمجيات. وتُعد هذه الحملة مثالاً على كيفية دمج الهندسة الاجتماعية مع التطور التقني لتجاوز الدفاعات الأمنية التقليدية.

Operation IconCat: حملة تجسس تستهدف المنظمات الإسرائيلية

تعتمد عملية IconCat بشكل أساسي على خداع المستخدمين من خلال تقديم مستندات مقلدة لشركات معروفة في مجال الأمن السيبراني، مثل Check Point و SentinelOne. عند فتح هذه الملفات، يقوم المهاجمون بتنزيل برمجيات خبيثة متخفية خلف علامة تجارية مألوفة.

تتبع الحملة مسارين هجوميين مميزين، وإن كانا يتشاركان في التكتيك الأساسي، إلا أنهما ينشران سلالات مختلفة من البرمجيات الخبيثة. يركز المسار الأول على استخدام ملفات PDF كقناة تسليم، بينما يستخدم المسار الثاني مستندات Word تحتوي على تعليمات برمجية مخفية.

تفاصيل مسارات الهجوم

المسار الأول يشمل ملف PDF باسم help.pdf، والذي يُقدم نفسه كدليل لفحص أمن Check Point. يطلب المستند من المستخدمين تنزيل “Security Scanner” من Dropbox بكلمة مرور “cloudstar”. الوثيقة نفسها تحتوي على خطوات مفصلة لتشغيل عمليات الفحص، مع لقطات شاشة تبدو حقيقية.

هذا الملف التنفيذي هو نقطة الانطلاق لنشر PYTRIC، وهي برمجية خبيثة مكتوبة بلغة Python ومُجمعة باستخدام تقنية PyInstaller. تكمن خطورة PYTRIC في قدراتها المتطورة التي تتجاوز السلوك المعتاد للبرمجيات الخبيثة.

قدرات خبيثة مقلقة

تشير التحليلات إلى أن PYTRIC تحتوي على وظائف مصممة لمسح الملفات عبر النظام بالكامل، والتحقق من صلاحيات المسؤول، وتنفيذ إجراءات مدمرة مثل مسح بيانات النظام وحذف النسخ الاحتياطية. يتواصل البرمجية عبر بوت تليجرام باسم Backup2040، مما يسمح للمهاجمين بالتحكم في الأجهزة المصابة عن بعد. هذا يوضح أن المهاجمين لا يهدفون فقط لسرقة المعلومات، بل لتدميرها بالكامل.

يتبع المسار الهجومي الثاني نمطًا مشابهًا، ولكنه يعتمد على برمجية خبيثة مكتوبة بلغة Rust تسمى RUSTRIC. يبدأ الهجوم بتصيد احتيالي عبر البريد الإلكتروني، حيث تنتحل الرسالة شخصية شركة L.M. Group الإسرائيلية للموارد البشرية، باستخدام نطاق وهمي. يحتوي المرفق على مستند Word تالف يشتمل على وحدات ماكرو مخفية تقوم باستخراج وتنفيذ الحمولة النهائية.

تُظهر RUSTRIC قدرات استطلاع متقدمة، حيث تتحقق من وجود 28 منتجًا مختلفًا لمكافحة الفيروسات، بما في ذلك Quick Heal، و CrowdStrike، و Kaspersky. بمجرد التنفيذ عبر Windows Management Instrumentation، تقوم بتشغيل أوامر النظام لتحديد الكمبيوتر المصاب وإقامة اتصالات بخوادم يتحكم بها المهاجمون.

من الضروري أن تتعامل فرق الأمن مع هذه الحملات كتهديدات ذات أولوية قصوى تتطلب تحقيقًا فوريًا وجهودًا للمعالجة. يجب على المؤسسات تعزيز إجراءاتها الأمنية وتوعية الموظفين بمخاطر الهندسة الاجتماعية.