مخترقون يستغلون “كاليندلي” لهجمات تصيد لحسابات “جوجل وورك سبيس”

كشفت شركة أمن سيبراني متخصصة عن حملة تصيد احتيالي متطورة تستهدف متخصصي الأعمال، وتحديداً حسابات Google Workspace وFacebook Business. تستغل هذه الحملة، التي تحمل طابع خدمة Calendly، الهندسة الاجتماعية وتقنيات متقدمة لسرقة بيانات الاعتماد.

بدأت الحملة عندما تلقى أحد العملاء بريداً إلكترونياً مقنعاً للغاية ينتحل شخصية مسؤول توظيف في مجموعة LVMH الفاخرة. تضمنت الرسالة تفاصيل شخصية عن الخبرة المهنية للمستلم وعرضاً لوظيفة مرموقة، مما يوحي بأن المهاجمين ربما استخدموا الذكاء الاصطناعي لجمع المعلومات من مصادر عامة مثل LinkedIn.

حملة تصيد احتيالي متطورة تستهدف بيانات حسابات Google Workspace

قام محللو الأمن السيبراني في Push Security بتحديد هذه البرمجيات الخبيثة، ووجدوا أنها جزء من حملة أكبر تتضمن متغيرات وعلامات تجارية متعددة. وأشار الباحثون إلى التكتيكات الهندسية الاجتماعية المتطورة التي يستخدمها المهاجمون، بالإضافة إلى تقنيات التهرب من الكشف المضمنة في البنية التحتية للهجوم.

آلية سرقة بيانات الاعتماد

تستخدم الحملة طريقة توصيل متعددة المراحل مصممة لتجاوز فلاتر أمن البريد الإلكتروني. تبدأ الرسالة الأولية بالسؤال عن مدى اهتمام المستلم بالفرصة الوظيفية، وبعد الرد، يرسل المهاجم رسالة متابعة تحتوي على رابط خبيث يبدو وكأنه رابط جدولة Calendly.

هذا النهج التدريجي يساعد بريد التصيد الاحتيالي على تجنب أدوات فحص المحتوى التي عادة ما تشير إلى الرسائل التي تحتوي على روابط مشبوهة. عندما يضغط الضحايا على الرابط، يتم توجيههم إلى صفحة Calendly وهمية ومقنعة، تبدو مطابقة تقريباً للخدمة الأصلية.

استخدام صفحة وهمية لسرقة البيانات

بعد إكمال التحقق من CAPTCHA، يؤدي النقر على “متابعة باستخدام Google” إلى إعادة توجيه المستخدمين إلى صفحة تصيد احتيالي من نوع “Attacker-in-the-Middle” (AiTM). هذه الصفحة تحاكي واجهة تسجيل الدخول الخاصة بجوجل، ولكنها تحمل عناصر Calendly لجعلها تبدو شرعية.

تحتوي البنية التحتية للتصيد الاحتيالي على آليات تحقق ذكية تمنع نطاقات البريد الإلكتروني غير المصرح بها من الوصول إلى الصفحة. فقط رسائل البريد الإلكتروني التي تطابق نطاق مؤسسة الضحية المقصودة يمكنها المتابعة إلى حقل إدخال كلمة المرور.

مقاومة أدوات التحليل والكشف

اكتشف الباحثون أيضاً ميزات متقدمة لمكافحة التحليل، بما في ذلك حظر عناوين IP الذي يمنع التحقيق من اتصالات VPN أو البروكسي، وقيود الوصول التي يتم تشغيلها عند فتح أدوات المطور. هذه الحماية تشير إلى أن المهاجمين يعملون بنشاط للبقاء متقدمين على باحثي الأمن وأدوات التحليل الآلي.

لقد تطورت هذه الحملة بشكل كبير منذ بدايتها قبل أكثر من عامين، حيث يقوم المهاجمون باستمرار بتحسين تكتيكاتهم وتقديم طرق جديدة للتهرب من الكشف للحفاظ على فعاليتها التشغيلية. تستمر حملات التصيد الاحتيالي المتطورة، مثل هذه الحملة التي تستهدف بيانات حسابات Google Workspace، في تشكيل تهديد كبير للأفراد والمؤسسات في جميع أنحاء العالم.