يشهد قطاع الضيافة في الشرق الأوسط وشمال أفريقيا موجة جديدة من الهجمات الإلكترونية المركزة، حيث يستغل مجرمو الإنترنت تكتيكات متطورة لتجاوز الدفاعات ونشر برامج ضارة خطيرة. تركز هذه الحملة، التي تم تتبعها تحت مسمى PHALT#BLYX، على استهداف الشركات في قطاع السياحة عبر رسائل بريد إلكتروني مضللة تتعلق بإلغاء الحجوزات، مما يدفع الضحايا إلى تشغيل تعليمات برمجية خبيثة على أنظمتهم.
تبدأ العملية باستلام موظفين غير مدركين لرسائل بريد إلكتروني تصيدية تبدو وكأنها تنبيهات خاصة بحجوزات من Booking.com. تعرض هذه الرسائل مبالغ مالية مفزعة تتجاوز 1000 يورو، مما يثير ذعرًا فوريًا ويدفع المتلقين إلى النقر على رابط “عرض التفاصيل” للتحقق.
بدلًا من توجيه الضحايا إلى معلومات الحجز الشرعية، يتم نقلهم إلى مواقع ويب مزيفة مصممة باحترافية، تحاكي واجهة Booking.com الأصلية بدقة، بما في ذلك الألوان والخطوط والشعارات. يستغل هذا التلاعب النفسي الشعور بالإلحاح والقلق المالي، مما يجعل الأفراد أكثر عرضة لتجاوز إجراءات الأمان المعتادة.
التطورات الأخيرة في هجمات اختراق الأنظمة
بعد الوصول إلى الصفحة الاحتيالية، يواجه المستخدمون خطأ تحميل متصفح وهمي، يتبعه ظهور شاشة زرقاء قاتلة (Blue Screen of Death) لمحاكاة واقعية.
توجه الصفحة المستخدمين إلى “إصلاح” المشكلة بالضغط على مفتاح Windows + R، ثم لصق محتوى حافظة المفكرة والضغط على Enter. تخدع هذه التقنية، المعروفة بـ “ClickFix”، الأفراد لتنفيذ أوامر PowerShell يدويًا، والتي تقوم بتنزيل ملفات مشروع خبيثة وتشغيلها عبر MSBuild.exe، وهي أداة تجميع شرعية من Microsoft.
كشف باحثو Securonix عن هذه الحملة بعد تتبع تطور التكتيكات من طرق تسليم أبسط تعتمد على تطبيقات HTML إلى سلسلة العدوى المعقدة الحالية المستندة إلى MSBuild. يمثل هذا التحول تكيفًا استراتيجيًا نحو تقنيات “العيش على الأرض” (Living off the Land) التي تستغل أدوات النظام الموثوقة لتجنب اكتشاف برامج مكافحة الفيروسات التقليدية.
كشفت التحليلات عن سلاسل نصية باللغة الروسية مضمنة في شفرة البرامج الضارة، مما يشير إلى صلات بمجموعات تهديد ناطقة باللغة الروسية تستخدم DCRat بشكل شائع في المنتديات تحت الأرض.
عملية العدوى متعددة المراحل وتجنب الدفاعات
يقوم برنامج PowerShell الخبيث بتنفيذ عدة عمليات حاسمة في وقت واحد. يفتح صفحة مسؤولي Booking.com الشرعية كواجهة ديكورية، بينما يبحث سرًا في النظام بأكمله عن MSBuild.exe، ويقوم بتنزيل ملف مشروع باسم v.proj من البنية التحتية للمهاجم، ثم يشغله عبر أداة Microsoft.
نظرًا لأن MSBuild.exe يحمل توقيع Microsoft صالحًا، فإن حلول قوائم التطبيقات البيضاء وأمن نقاط النهاية غالبًا ما تفشل في اكتشاف التنفيذ كنشاط مشبوه.
يحتوي ملف v.proj على نصوص PowerShell المضمنة التي تستهدف على الفور Windows Defender عن طريق إضافة استثناءات لدليل ProgramData بالكامل ولواحق ملفات محددة، بما في ذلك .exe و.ps1 و.proj. يضمن هذا الإعداد أن الحمولة النهائية يمكن أن تصل إلى القرص دون إثارة إنذارات الاحتواء.
تتضمن قدرات DCRat تسجيل الضغطات على المفاتيح، والوصول إلى سطح المكتب عن بعد، وحقن العمليات، والقدرة على تنزيل حمولات ثانوية مثل برامج تعدين العملات المشفرة.
تقوم البرامج الضارة بجمع بصمات نظام شاملة، بما في ذلك معرفات الأجهزة، وبرامج مكافحة الفيروسات المثبتة، وعناوين النوافذ النشطة، وحالة عضوية المجال قبل إرسال هذه المعلومات الاستخباراتية مرة أخرى إلى المشغلين. تمكن هذه المعلومات المهاجمين من تقييم قيمة الضحية ونشر أدوات المتابعة المناسبة لسرقة بيانات الاعتماد، أو الحركة الجانبية، أو نشر برامج الفدية.