يشهد العالم الرقمي انتشارًا متزايدًا لحملات برمجيات خبيثة جديدة عبر الإنترنت، تعتمد على استخدام صفحات التحقق المزيفة لخداع المستخدمين وتثبيت برامج ضارة على أجهزتهم. تستغل هذه الهجمات الواجهات المشروعة للبنية التحتية للويب الموثوقة لتقديم حمولات خبيثة.
تتشابه هذه الصفحات المزيفة بشكل كبير مع إجراءات التحقق الأمنية التي اعتاد المستخدمون رؤيتها يوميًا أثناء تصفحهم للإنترنت، مما يجعلها أداة فعالة للهجمات. يمثل هذا النظام البيئي لـ “التحقق الكاذب” تهديدًا متغيرًا باستمرار.
وفقًا لتحليل صادر عن باحثين من Censys، تم رصد ما يقارب 9,494 موقعًا إلكترونيًا مخترقًا وخصائص خبيثة تستضيف بشكل نشط صفحات تحقق وهمية. يشير هذا الرقم الكبير إلى الانتشار الواسع لهذه الظاهرة.
وقد تمكن الباحثون من تتبع هذه الأصول من خلال المراقبة المستمرة للبنية التحتية المكشوفة للويب. وقد وجدوا أن حوالي 70% من إجمالي أنشطة التحقق الكاذب المرصودة تشترك في مظهر بصري متطابق تقريبًا.
آليات إصابة متنوعة خلف مظهر موحد
على الرغم من التشابه البصري الكبير، فإن صفحات التحقق الكاذبة تستخدم تقنيات إصابة مختلفة جوهريًا. قد يخدع المظهر الخارجي المتشابه المستخدمين، لكن العمليات الداخلية تختلف بشكل كبير.
لاحظ باحثو Censys أنه ضمن أكبر مجموعة مرئية من مواقع التحقق الكاذب، تم اكتشاف 32 نموذجًا مختلفًا للحمولة الخبيثة عبر نماذج تنفيذ متعددة وغير متوافقة. هذا يدل على التنوع الكبير في أساليب المهاجمين.
تتمثل بعض الهجمات في التلاعب بحافظة النسخ (clipboard) لتنفيذ أوامر PowerShell أو VBScript تقوم بتنزيل البرامج الضارة. تعتمد هجمات أخرى على حزم تثبيت Windows التي يتم تقديمها عبر ملفات MSI مستضافة على نطاقات مخترقة.
تستخدم فئة ثالثة أطر عمل إشعارات الدفع التي يتم توجيهها من الخادم، والتي تتجنب الكشف عن أي حمولة مرئية أثناء التفاعل الأولي. هذه الأساليب الملفية تجعل اكتشاف البرمجيات الخبيثة أكثر صعوبة.
يبقى النهج الذي يعتمد على حافظة النسخ هو الأسلوب الأكثر شيوعًا. تمثل برامج تنزيل VBScript حوالي 1,706 أصولًا مرصودة، بينما تظهر الطرق المعتمدة على PowerShell في حوالي 1,269 موقعًا. تنسخ هذه الهجمات الأوامر الخبيثة إلى حافظة المستخدم وتوجه الضحايا للصقها وتنفيذ الكود.
ومع ذلك، فإن التوصيل المعتمد على المثبت عبر MSIEXEC يمثل حوالي 1,212 أصلًا، مما يحول الهجوم إلى أسطح أمنية مختلفة تمامًا. هذا التنوع في قنوات التوزيع يزيد من تعقيد الجهود الأمنية.
يقدم إطار عمل Matrix Push C2 نموذج تسليم ملفي تمامًا، تم العثور عليه في حوالي 1,281 أصلًا. تقوم هذه التقنية بخداع المستخدمين لمنح أذونات إشعارات المتصفح بدلاً من تنفيذ حمولات فورية. هذا يمثل تطورًا في استراتيجيات الهجوم.
بمجرد منح الأذونات، يمكن للمهاجمين دفع محتوى خبيث لاحقًا عبر قناة إشعارات المتصفح. يكشف التحليل الثابت لهذه الصفحات عن عدم وجود مآثر قابلة للتنفيذ لأن التسليم مؤجل ويتم التحكم فيه بالكامل بواسطة خوادم بعيدة. هذا يجعل استراتيجيات الكشف التقليدية التي تركز على الحمولة غير فعالة ضد ناقل الهجوم هذا.
تابعونا على أخبار Google، LinkedIn، و X لمزيد من التحديثات الفورية، وحددوا CSN كمصدر مفضل في Google.
