كشف تقرير أمني حديث عن تزايد استخدام أداة Evilginx المتطورة من قبل قراصنة متخصصين لتجاوز آليات المصادقة متعددة العوامل (MFA) والاستيلاء على حسابات المستخدمين في الخدمات السحابية. وتعمل هذه الأداة كوكيل عكسي، فتسمح للقراصنة بالتقاط بيانات تسجيل الدخول وبيانات جلسات المستخدمين عبر روابط تصيدية متقنة.
في التفاصيل، تقوم أداة Evilginx بإنشاء صفحات تسجيل دخول تبدو مطابقة تماماً لمواقع الخدمات السحابية الشرعية، بما في ذلك الشعارات والتصميم وتدفقات المصادقة. وعندما يقوم المستخدم بإدخال بيانات اعتماده وإكمال خطوة المصادقة متعددة العوامل، تقوم الأداة باعتراض ملفات تعريف الارتباط (cookies) ورموز الجلسة دون أن يدرك المستخدم ذلك، بينما تستمر في تمرير الحركة المرورية إلى الخادم الأصلي.
تطور تهديدات Evilginx
أشار محللون أمنيون من شركة Infoblox إلى رصد حملات حديثة استغلت هذه التقنية لتقليد بوابات تسجيل الدخول الموحد (SSO) الخاصة بالشركات. تمكن القراصنة من سرقة رموز الجلسات المستخدمة للوصول إلى منصات البريد الإلكتروني وأدوات التعاون، مما يمثل تهديداً خطيراً لأمن المعلومات.
تسمح هذه الرموز المسروقة للقراصنة بإعادة تشغيل جلسات المستخدمين دون الحاجة إلى كلمات المرور أو رموز المصادقة مرة أخرى، وهو ما يحول التهديد من مجرد سرقة بيانات اعتماد إلى اختطاف كامل للجلسات. هذا التطور يعكس مدى دقة هذه الهجمات وقدرتها على تجاوز الدفاعات الأمنية التقليدية.
تأثير الهجمات وآليات العمل
تكمن خطورة هذه الهجمات في الآثار المترتبة عليها، حيث يمكن للمهاجمين، باستخدام رمز جلسة نشط، قراءة رسائل البريد الإلكتروني، إعادة تعيين كلمات المرور للتطبيقات المرتبطة، وتثبيت طرق مصادقة متعددة العوامل جديدة، وحتى زرع أبواب خلفية للوصول المستمر وغير المكتشف.
قد يؤدي ذلك إلى اختراق البريد الإلكتروني التجاري، وسرقة البيانات الحساسة، وتوفير وصول خفي طويل الأمد يصعب تتبعه إلى لحظة النقر الأولى على الرابط التصيدي. يبين تدفق الهجوم كيف تفتح ملفات تعريف الارتباط المسروقة الأبواب أمام خدمات أخرى.
أحد الجوانب الرئيسية التي أثيرت في التحليل الفني هو كيفية تفادي أداة Evilginx للاكتشاف أثناء هذه العملية. تقوم الأداة بإعادة توجيه كافة المحتويات من موقع المصادقة الشرعي، بما في ذلك النصوص البرمجية والأنماط والإشعارات الديناميكية، مما يجعل عمليات الفحص البصري التقليدية غير فعالة تقريباً.
علاوة على ذلك، تستخدم الأداة شهادات SSL حقيقية على نطاقات تبدو مماثلة، مما يجعل أيقونة القفل في المتصفح تظهر باللون الأخضر وتمنح المستخدم شعوراً بالأمان الزائف. في الكواليس، تعمل Evilginx على تعديل وتمرير رؤوس الطلبات (headers) للحفاظ على الجلسة، مع إزالة ملفات تعريف الارتباط الحساسة لسرقتها.
تفاصيل فنية لآلية الاعتراض
من خلال تسجيل ملفات تعريف الارتباط على مستوى وكيل الشبكة (proxy)، يتمكن المهاجمون من الحصول على بيانات الجلسة قبل أن يتم تأمينها بواسطة جهاز المستخدم أو الأدوات الأمنية للشركة. وهذا يوضح كيفية تدفق رؤوس الطلبات وملفات تعريف الارتباط عبر الوكيل، مبيناً النقاط التي يتم فيها اعتراض الرموز.
تؤكد هذه التطورات على الحاجة المستمرة لتوعية المستخدمين بأفضل الممارسات الأمنية، وتشديد إجراءات الحماية على مستوى المؤسسات، وتبني حلول أمنية مبتكرة قادرة على اكتشاف وتصدي الهجمات المتقدمة التي تستهدف آليات المصادقة الحديثة.