تسللت التهديدات السيبرانية إلى طرق جديدة ومبتكرة للاحتيال، حيث بدأ المخترقون في استغلال منصة Google Cloud Storage، المعروفة بموثوقيتها، لتجاوز فلاتر البريد الإلكتروني وإيصال برمجيات خبيثة متقدمة. تأتي هذه الاستراتيجية لتزيد من تعقيد الحرب ضد الهجمات الإلكترونية.
سمح هذا النهج للمهاجمين بتجنب آليات الكشف التقليدية، بما في ذلك فحوصات السمعة وأدوات الأمن السيبراني، دون إثارة أي إنذارات.
استغلال Google Cloud Storage في هجمات التصيد الاحتيالي
بدأت هذه حملات التصيد الاحتيالي برسائل بريد إلكتروني تحتوي على روابط توجه المستخدمين إلى صفحات مزيفة مستضافة على نطاق storage.googleapis.com، وهو نطاق شرعي تابع لشركة جوجل. تحاكي هذه الصفحات واجهات تسجيل الدخول الخاصة بخدمة Google Drive، مستخدمة شعارات وملفات تعريفية مشابهة للمستندات مثل PDF و DOC و SHEET و SLIDE.
ويتم توجيه الضحايا لتسجيل الدخول بهدف “عرض مستند على Google Drive”، دون أن يدركوا أن الصفحة مصممة لسرقة عنوان بريدهم الإلكتروني، وكلمة المرور، ورمز التحقق لمرة واحدة (OTP).
بعد إدخال بيانات الاعتماد المزيفة، يقوم النظام بإيهام الضحية بتحميل ملف JavaScript باسم Bid-P-INV-Document.js، والذي يمثل نقطة الدخول الرئيسية لسلسلة العدوى الكاملة.
تأتي هذه التطورات في وقت حرج، حيث يشير تقرير ANY.RUN السنوي عن اتجاهات البرمجيات الخبيثة لعام 2025 إلى أن حملات التصيد التي تستخدم الاستضافة السحابية الموثوقة أصبحت المتجه الهجومي السائد. وشهدت برمجيات الوصول عن بعد (RATs) ارتفاعًا بنسبة 28%، بينما ارتفعت البرمجيات الخلفية (Backdoors) بنسبة 68% مقارنة بالعام السابق.
في أبريل 2026، اكتشف فريق أبحاث التهديدات في ANY.RUN هذه الحملة تحديدًا، مشيرًا إلى أن المهاجمين استخدموا نطاقات فرعية مثل pa-bids، com-bid، contract-bid-0، و out-bid لاستضافة صفحاتهم الخبيثة.
يُعتبر الاختيار الاستراتيجي لاستضافة الهجمات على بنية Google التحتية التابعة لجوجل خطوة محسوبة، حيث منحت الحملة مناعة طبيعية ضد فلاتر البريد الإلكتروني وأمن الويب القائمة على سمعة المواقع.
الحمولة النهائية في هذه الحملة هي Remcos RAT، وهو حصان طروادة تجاري للوصول عن بعد يمنح المهاجمين سيطرة كاملة ومستمرة على الجهاز المخترق. بمجرد تثبيته، يتمكن Remcos من تسجيل ضغطات المفاتيح، سرقة بيانات الاعتماد من المتصفحات ومديري كلمات المرور، التقاط لقطات الشاشة، الوصول إلى الميكروفون وكاميرا الويب، مراقبة محتوى الحافظة، ونقل الملفات عن بعد.
يقوم البرنامج بكتابة إدخالات الاستمرارية في سجل Windows تحت المسار HKEY_CURRENT_USERSoftwareRemcos-{ID}، مما يضمن بقاءه حتى بعد إعادة التشغيل. يمكن لنقطة نهاية واحدة مصابة أن تصبح بسرعة نقطة انطلاق لبرمجيات الفدية، سرقة البيانات، والحركة الجانبية عبر شبكات الشركات.
ما يجعل هذا التهديد خطيرًا بشكل خاص هو المخاطر المزدوجة التي يخلقها. لا يفقد الضحايا بيانات اعتماد حساب Google الخاص بهم فحسب، بل ينتهي بهم الأمر بوجود أداة مراقبة تعمل بصمت على أجهزتهم.
تمنح سرقة بيانات الاعتماد جنبًا إلى جنب مع الوصول عن بعد للمهاجمين وصولاً فوريًا إلى الحسابات ورؤية طويلة الأمد داخل البيئة المخترقة، مما يجعل نقرة واحدة على رابط تصيد احتيالي خطرًا أمنيًا كبيرًا.
آلية العدوى متعددة المراحل
تتكون سلسلة العدوى وراء هذه الحملة من طبقات متعددة، تم بناؤها بعناية لتجنب الكشف في كل مرحلة، باستخدام تغذية معلومات التهديدات المدمجة (Integrate TI Feeds).
بعد أن يقوم الضحية بتشغيل ملف JavaScript تحت Windows Script Host، يقوم منطق التهرب المستند إلى الوقت بتأخير تنفيذه. هذه الحيلة مصممة لهزيمة برامج الحماية الآلية (Sandboxes) التي تقوم بتحليل السلوك ضمن نافذة زمنية محددة فقط.
يقوم البرنامج النصي بعد ذلك بتشغيل مرحلة Visual Basic Script بصمت، والتي تقوم بجلب وتشغيل ملف VBS ثانٍ. يقوم هذا الجزء بإنشاء ملفات في المسار %APPDATA%WindowsUpdate وتكوين الاستمرارية عند بدء التشغيل للبقاء حتى بعد إعادة التشغيل.
يتولى بعد ذلك برنامج PowerShell النصي المسمى DYHVQ.ps1 المسؤولية، حيث يقوم بتحميل ملف تنفيذي مشفر مخزن كـ ZIFDG.tmp.
في الوقت نفسه، تجلب السلسلة مُحمل .NET مشفر من Textbin، وهو خدمة استضافة نصوص عامة، وتحمله مباشرة في الذاكرة عبر Assembly.Load، مما لا يترك أي أثر على القرص لأدوات مكافحة الفيروسات لفحصه.
بعد ذلك، يستغل مُحمل .NET البرنامج RegSvcs.exe، وهو برنامج تنفيذي شرعي موقّع من Microsoft، لحقن حمولة Remcos من خلال عملية تسمى “Process Hollowing”. نظرًا لأن RegSvcs.exe يحمل سمعة نظيفة على VirusTotal، تبدو هذه المرحلة طبيعية تمامًا لمعظم أدوات حماية نقطة النهاية، مما يجعلها غير مرئية تقريبًا دون مراقبة سلوكية.
يجب على فرق الأمن التعامل مع أي رابط storage.googleapis.com بنفس الحذر الذي تتعامل به مع نطاق غير معروف، حيث أن الثقة في اسم المنصة لا تضمن سلامة المحتوى.
تعد أدوات التحليل السلوكي التي تراقب النشاط بعد النقر أكثر فعالية بكثير من الكشف المستند إلى التوقيع وحده.
يجب تدريب الموظفين في الأقسام المالية والمشتريات والقيادية على التعرف على إغراءات التصيد الاحتيالي عبر التخزين السحابي، وعدم تحميل الملفات أبدًا من طلبات تسجيل الدخول غير المتوقعة.
يجب دائمًا اختبار ملفات JavaScript والملفات النصية المشبوهة في بيئة معزولة قبل تشغيلها على أي نظام إنتاجي.