كشفت تقارير أمنية حديثة عن حملة احتيالية متطورة تستغل تقنيات تحسين محركات البحث (SEO) لخداع المستخدمين وسرقة بيانات اعتماد الشبكات الافتراضية الخاصة (VPN). تستهدف هذه الحملة، التي يقودها جهة تهديد معروفة باسم Storm-2561، المستخدمين من الشركات الذين يبحثون عن أدوات VPN أساسية، مما قد يعرض البنية التحتية الرقمية للمؤسسات لخطر كبير.
بدأت الحملة في شهر مايو من العام الماضي، حيث عمد المهاجمون إلى التلاعب بنتائج البحث لتظهر مواقع ويب وهمية في مقدمة النتائج، خاصة عند البحث عن كلمات مفتاحية تتعلق ببرامج VPN شائعة مثل Pulse Secure و Fortinet و Ivanti. يتم توجيه المستخدمين إلى صفحات مزيفة مصممة لتبدو مطابقة تمامًا للصفحات الرسمية لمقدمي خدمات VPN.
استغلال SEO لعمليات الاحتيال
وفقًا لخبراء الأمن السيبراني، يعتمد المهاجمون على تقنيات تحسين محركات البحث (SEO) المضللة لرفع ترتيب مواقعهم المزيفة في نتائج البحث. يتم إغراء المستخدمين، غالبًا بغرض الحصول على برامج VPN معتمدة، بالنقر على هذه النتائج.
تتضمن المواقع المزيفة شعارات وأزرار تنزيل مطابقة لتلك الموجودة على المواقع الأصلية، مما يزيد من سهولة خداع المستخدمين. بعد ذلك، يتم تقديم حزم تنزيل خبيثة، غالبًا في شكل ملفات ZIP، والتي تحتوي على برامج ضارة مصممة لسرقة بيانات اعتماد VPN.
آلية السرقة وتقنية إخفاء الهوية
بمجرد تثبيت البرنامج المزيف، يبدأ في جمع بيانات اعتماد VPN بشكل صامت دون إطلاق أي تحذيرات واضحة للمستخدم. الأمر الأكثر إثارة للقلق هو أن البرنامج الخبيث المصاب يعرض رسالة خطأ مقنعة ثم يوجه المستخدم لتنزيل البرنامج الحقيقي من الموقع الرسمي. هذا التكتيك يجعل الضحية يعتقد أن كل شيء على ما يرام، بينما تكون بيانات اعتماده قد سُرقت بالفعل.
وقد أشار خبراء Microsoft Defender إلى أن هذه الحملة تتماشى مع سلوكيات Storm-2561 الموجهة نحو تحقيق مكاسب مالية. وتُظهر التوقيعات الرقمية المزيفة المستخدمة على البرامج الضارة، والتي كانت صادرة عن شركة صينية، مدى تطور هذه العملية.
التداعيات على المؤسسات
تمتد الآثار المترتبة على هذه الحملة لتشمل المؤسسات التي تعتمد بشكل كبير على الوصول عبر VPN لعمليات عن بعد. تتيح بيانات الاعتماد المسروقة للمهاجمين التحرك بحرية عبر الشبكات المؤسسية، والوصول غير المصرح به إلى البيانات، وتنفيذ هجمات متابعة أكثر تدميراً.
نظرًا لأن الحملة تقلد علامات تجارية موثوقة متعددة لخدمات VPN، فإن نطاق الضحايا المحتملين يمتد عبر العديد من الصناعات والمناطق الجغرافية، مما يجعلها تهديداً واسع النطاق.
حماية المستخدمين والمؤسسات من التهديدات
لمواجهة هذا التهديد، يُنصح المستخدمون بتنزيل البرامج فقط من المصادر الرسمية والموثوقة، وتجنب الروابط المباشرة من نتائج محركات البحث. يُعد فرض المصادقة متعددة العوامل (MFA) على جميع الحسابات أمرًا بالغ الأهمية، حيث لا تسمح كلمات المرور المسروقة وحدها بالوصول عند وجود MFA.
بالنسبة للمؤسسات، تشمل الإجراءات الوقائية تشغيل أدوات الكشف والاستجابة لنقاط النهاية في وضع الحظر، وتمكين الحماية على مستوى الشبكة والويب، وتطبيق قواعد تقليل سطح الهجوم لمنع تشغيل الملفات التنفيذية غير الموثوق بها. يجب على فرق الأمن أيضًا التحقيق في أي ملفات موقعة من سلطات شهادات غير معروفة أو تم إلغاؤها مؤخرًا.
وتؤكد هذه الحادثة على الحاجة المستمرة لليقظة السيبرانية والتدريب المنتظم للموظفين على أحدث تقنيات الاحتيال، بالإضافة إلى تبني حلول أمنية قوية ومتكاملة لحماية البنية التحتية الرقمية.