تشن جهات فاعلة في مجال التهديدات السيبرانية حملة خبيثة تستغل تقنيات تحسين محركات البحث (SEO) لنشر برمجيات فدية، حيث تقوم بتوزيع مثبت مزيف لتطبيق Microsoft Teams بهدف اختراق المؤسسات. تستهدف هذه الحملة حالياً المنظمات التي تعتمد بشكل كبير على أدوات التعاون الرقمي.
بدأت هذه الحملة منذ حوالي نوفمبر 2025، وتعتمد على إنشاء مواقع ويب وهمية تشبه إلى حد كبير موقع Microsoft Teams الرسمي، وذلك لتضليل المستخدمين وتشجيعهم على تنزيل تطبيق مصاب ببرمجية خبيثة. الهدف الأساسي من هذا الاختراق هو السيطرة عن بعد على الأنظمة المخترقة، مما يتيح للمهاجمين سرقة البيانات الحساسة وتنفيذ أوامر مختلفة، بالإضافة إلى الحفاظ على وجود مستمر داخل الشبكات المستهدفة.
حملة تجسس وهجوم إلكتروني خبيث
تبدأ عملية الاختراق عندما يبحث المستخدمون عن تطبيق Microsoft Teams، ليتم توجيههم عبر نتائج بحث مُعدّلة خبيثاً إلى موقع ويب مزيف. يستخدم هذا الموقع، وتحديداً teamscn[.]com، تقنية “typosquatting” وهي تسمية نطاقات مشابهة جداً للنطاقات الأصلية، بهدف استهداف المستخدمين الناطقين باللغة الصينية.
وفقاً لباحثي شركة ReliaQuest للأمن السيبراني، فإن الجهات الفاعلة وراء هذه الحملة يُعتقد أنها مجموعة “Silver Fox”، وهي جماعة صينية تنشط في مجال التجسس الحكومي، ولديها أيضاً دوافع مالية من خلال الانخراط في أنشطة الجريمة الإلكترونية.
أهداف مزدوجة للحملة
يمثل استخدام تطبيق Microsoft Teams مزيفاً كطعم استراتيجية ذكية، بالنظر إلى الانتشار الواسع لهذا التطبيق في بيئات العمل الحديثة، مما يزيد من احتمالية نجاح عملية الإصابة.
ما يزيد من تعقيد هذه الحملة هو استخدام تقنيات “العلم الزائف” (false flag) لتضليل المحققين الأمنيين. على سبيل المثال، يتضمن برنامج تحميل البرمجية الخبيثة خصائص وحروفاً ولغة روسية، وهي خطوة متعمدة لنسب الهجوم إلى جهات فاعلة روسية، بهدف تعقيد عملية تحديد مصدر الهجوم.
ومع ذلك، فقد ربط باحثو ReliaQuest الحملة بمجموعة “Silver Fox” بدرجة عالية من الثقة، وذلك بناءً على تداخل البنية التحتية المستخدمة مع هجمات سابقة مرتبطة بهذه المجموعة. هذا التضليل هو خطوة محسوبة لتصعيب عملية إسناد الهجوم وإبطاء جهود الاستجابة للحوادث، مما يمنح المهاجمين وقتاً أطول لتحقيق أهدافهم.
آلية الإصابة وتقنيات التخفي
تتكون عملية الإصابة من عدة مراحل متتابعة، مصممة لتجاوز الإجراءات الأمنية وخداع المستخدمين. تبدأ العملية بتنزيل ملف مضغوط بصيغة ZIP باسم MSTчamsSetup.zip، والذي يحتوي على ملف تنفيذي مخادع، Setup.exe.
بمجرد تنفيذ Setup.exe، يقوم بعدة إجراءات لاختراق النظام. يتحقق البرنامج أولاً من وجود برنامج ‘360 Total Security’، وهو برنامج شهير لمكافحة الفيروسات في الصين.
بعد ذلك، يستخدم البرنامج أمراً عبر PowerShell لإضافة استثناءات لمستدفات C:، D:، E:، و F: في برنامج Windows Defender، وذلك لمنع فحص هذه المواقع من قبل برنامج مكافحة الفيروسات.
powershell.exe -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath C:, D:,E:,F:
عقب ذلك، يقوم بتشغيل Verifier.exe، وهو مثبت Microsoft شرعي ولكنه مُعدّل، ويتم تقديمه باللغة الروسية. يقوم هذا التطبيق بقراءة بيانات ثنائية من ملف Profiler.json.
لإتمام عملية الخداع، تقوم البرمجية الخبيثة بتثبيت نسخة شرعية من Microsoft Teams وإنشاء اختصار له على سطح المكتب، مما يجعل المستخدم يعتقد أن التثبيت قد اكتمل بنجاح، بينما تعمل البرمجية الخبيثة بشكل سري في الخلفية.
تابعونا على Google News و LinkedIn و X للمزيد من التحديثات الفورية.