هجوم تصيد إلكتروني متطور يستهدف مستخدمي مايكروسوفت

كشفت تقارير أمنية حديثة عن نشاط متزايد لحملات تصيد احتيالي متطورة تستهدف مستخدمي خدمة البريد الإلكتروني من مايكروسوفت “Outlook”، مستغلة أدوات حديثة قد تكون مدعومة بالذكاء الاصطناعي. بدأ هذا النشاط في مارس 2025، ويشير إلى تطور في أساليب المهاجمين لسرقة بيانات الاعتماد.

تتميز هذه الحملة بعلامة مميزة تتمثل في استخدام أربع رموز تعبيرية للفطر ضمن سلسلة نصية “OUTL”، وقد تم رصدها في أكثر من 75 عملية نشر مختلفة. تهدف هذه العمليات إلى سرقة بيانات تسجيل الدخول إلى حسابات Outlook، إضافة إلى جمع عناوين IP وبيانات تحديد المواقع الجغرافية للضحايا.

حملة تصيد احتيالي جديدة تستهدف مستخدمي مايكروسوفت

تستخدم أدوات التصيد الاحتيالي هذه واجهة مشابهة تماماً لصفحة تسجيل الدخول الخاصة بمايكروسوفت أوتلوك، مع تقديم الطلبات بلغة إسبانية. هذا التمويه يهدف إلى خداع المستخدمين وإقناعهم بإدخال بيانات اعتمادهم. بعد إدخال المعلومات، يقوم النظام باستخلاصها فوراً، مع إضافة بيانات سياقية قيمة.

بمجرد إدخال المستخدمين لمعلوماتهم، يقوم النظام بجمع البيانات المسروقة وإثرائها بمعلومات إضافية. يتم ذلك عبر الاستعلام الآني من خدمات خارجية للحصول على عنوان IP وتفاصيل الموقع الجغرافي. هذه الخطوات السريعة تتم قبل تجميع بيانات الاعتماد وإرسالها إلى المهاجمين.

آلية عمل عملية الاحتيال

تُظهر هذه العمليات مستوى عالٍ من التخطيط التقني، حيث تظهر عدة تنويعات لهذه الأدوات بأنماط تشغيل متسقة، على الرغم من التغييرات في تقنيات التشويش المستخدمة. اكتشف الباحثون هذه الحملة بعد العثور على توقيع رموز الفطر، الذي كان نقطة ارتكاز موثوقة لتتبع عمليات النشر الإضافية.

كشف تحليل تطور الأدوات عن عدة تنويعات مميزة، تتراوح بين نصوص مشوشة بشكل كبير مع فخاخ مضادة للتحليل، إلى شفرات غير مشوشة تماماً تشبه الأنماط التي يولدها الذكاء الاصطناعي. يشير هذا إلى إمكانية استخدام أدوات الذكاء الاصطناعي في تطوير البرمجيات الخبيثة.

يتميز أحدث تنويع، والذي يُطلق عليه اسم disBLOCK.js، بمسافات بادئة واضحة، ودوال مسماة بشكل جيد، وتعليقات باللغة الإسبانية تشرح كل مرحلة من مراحل التنفيذ. هذه الخصائص ترتبط بقوة بتوليد الشفرات بمساعدة الذكاء الاصطناعي، بدلاً من الأدوات المطورة يدوياً.

آلية الإصابة وتجميع البيانات

تعمل أداة التصيد الاحتيالي هذه من خلال بنية معيارية، حيث يتم فصل بيانات التهيئة عن منطق التنفيذ. في عمليات النشر المبكرة، كان النص البرمجي xjsx.js يعمل كحاوية تهيئة، يخزن رموز ومُعرّفات محادثات بوت تيليجرام باستخدام تشويش بسيط للدوران المصفوفي.

تتبع عملية جمع بيانات الضحايا تسلسلاً ثابتاً. عندما يقدم المستخدم بيانات الاعتماد عبر نموذج تسجيل الدخول المزيف، يقوم النظام أولاً بالتحقق من تنسيق البريد الإلكتروني باستخدام نمط تعبير عادي. بعد ذلك، يبدأ استدعاء الدالة fetchIPData، التي تقوم بطلبات HTTPS إلى واجهات برمجة التطبيقات الخارجية لجمع معلومات IP والموقع.

تظل حمولة الاستخراج ذات تنسيق موحد عبر جميع التنويعات، وهي منظمة على النحو التالي: “OUTL CORREO: [victim_email] PASSWR: [victim_password] IP: [ip_address]” متبوعة بتفاصيل الموقع. تظهر عمليات التقاط الشبكة نقل البيانات عبر طلبات HTTPS POST القياسية إما إلى واجهات برمجة تطبيقات بوت تيليجرام أو نقاط النهاية الخاصة بـ Discord webhooks.

يمثل التحول نحو Discord webhooks تطوراً تكتيكياً، حيث تعمل هذه القنوات كقنوات للكتابة فقط، مما يمنع المدافعين من الوصول إلى بيانات الاستخراج التاريخية حتى لو تم اكتشاف عنوان webhook. يكشف تحليل البنية التحتية للأداة عن نظام بيئي قائم على الخدمات مع طبقات نشر مفصولة عن قصد، مع الحفاظ على تقارب انتقائي على مستوى الاستخراج، مما يشير إلى نموذج “التصيد الاحتيالي كخدمة” حيث قد يستخدم مشغلون مختلفون نفس المجموعة الأساسية من الأدوات.