كشفت تقارير أمنية حديثة عن حملة تصيد احتيالي متطورة استمرت بين نوفمبر 2025 ويناير 2026، حيث استغلت منصة Vercel لاستضافة الويب لتوزيع أدوات الوصول عن بعد على المستخدمين. تتضمن هذه الهجمات مزيجاً من الهندسة الاجتماعية واستغلال نطاقات موثوقة، مما يجعلها فعالة بشكل خاص في تجاوز طبقات الأمان التقليدية.
تستخدم الحملة رسائل بريد إلكتروني وهمية ذات طابع مالي، مثل فواتير متأخرة وبيانات مدفوعات ووثائق شحن، للضغط على المستخدمين للنقر على روابط خبيثة. وتبرز هذه الحملة تحولاً في أساليب الجهات التهديدية، من مجرد توصيل برمجيات خبيثة إلى تطبيق تقنيات مراوغة متقدمة.
هجوم تصيد احتيالي يعتمد على منصة Vercel
تستهدف الرسائل التهديدية المستخدمين بلغة تحث على الاستعجال، مثل “متأخر 43 يومًا” أو التهديد بوقف الخدمة، بهدف دفعهم للتفاعل مع المحتوى المرتبط. وتعتمد هذه الحملة على سمعة Vercel كمنصة موثوقة، مما يساعد على تجاوز مرشحات البريد الإلكتروني وإعطاء شعور زائف بالأمان للمستلمين.
بعض المتغيرات تستهدف مناطق معينة، حيث تتظاهر رسائل باللغة الإسبانية بأنها إشعارات تحديث أمنية، بينما تحاكي أخرى خدمات شرعية مثل عارضات ملفات PDF من Adobe أو بوابات مالية.
تطور أساليب التهديدات
اكتشف محللو Cloudflare هذا التهديد أثناء فحص أنماط إساءة استخدام Vercel، ووجدوا أن الحملة قد تطورت بشكل كبير منذ توثيقها الأولي في يونيو 2025 بواسطة CyberArmor. لاحظ الباحثون أن الجهات التهديدية طبقت آليات تصفية متطورة تعتمد على Telegram، مصممة لمنع الباحثين الأمنيين وصناديق التحليل الآلية من الوصول إلى الحمولة الخبيثة.
العدوى عبر بصمات المتصفح والتسليم المشروط
عندما ينقر المستخدمون على رابط Vercel الخبيث، يواجهون آلية مراوغة متقدمة تقنياً قبل توصيل الحمولة. تقوم البنية التحتية للمهاجم بجمع بصمات المتصفح، بما في ذلك عناوين IP وأنواع الأجهزة ومعلومات المتصفح والموقع الجغرافي.
يتم استخراج هذه البيانات وربطها بقناة Telegram يتحكم بها المهاجم، حيث تقوم أنظمة آلية بتقييم ما إذا كان الضحية يمثل هدفاً حقيقياً. يتم تصفية الباحثين الأمنيين والاتصالات المشبوهة، بينما يتم توجيه الضحايا المعتمدين إلى واجهة وهمية لعرض المستندات.
تغليف الحمولة الخبيثة
يُطلب من المستخدمين بعد ذلك تنزيل ملفات متخفية كوثائق شرعية، بأسماء مثل “Statements05122025.exe” أو “Invoice06092025.exe.bin”. أما الحمولة بحد ذاتها، فهي ليست برمجية خبيثة مخصصة، بل نسخة موقعة وشرعية من برنامج الوصول عن بعد GoTo Resolve (المعروف سابقاً باسم LogMeIn).
من خلال الاستفادة من تقنية “العيش على حساب ما هو موجود” (Living off the Land)، يتجنب المهاجمون أنظمة الكشف عن الفيروسات المعتمدة على التوقيع. عند التنفيذ، يقوم البرنامج بإنشاء اتصالات بخوادم أوامر عن بعد، مما يمنح الجهات التهديدية وصولاً كاملاً عن بعد والتحكم في النظام.