كشفت تقارير أمنية حديثة عن موجة هجمات تصيد إلكتروني جديدة تستغل إشعارات مزيفة من خدمة “DocuSign” لإصابة أنظمة ويندوز ببرمجيات خبيثة متطورة. هذه الهجمات تستهدف المستخدمين عبر رسائل بريد إلكتروني تبدو وكأنها رسمية، مما يزيد من صعوبة اكتشافها.
تعتمد هذه الحملة على محاكاة تامة لعلامة “DocuSign” التجارية، حيث تطلب من المستلمين مراجعة اتفاقيات معلقة. يدفع هذا الإغراء المستخدمين بالنقر على رابط يقودهم إلى صفحة تدعي احتواء الملف المطلوب.
موجة تصيد DocuSign الحديثة تطلق برمجيات خبيثة
بعد النقر على الرابط، يتحول مسار العملية من المتصفح إلى أداة تحميل متعددة المراحل مصممة لتجاوز إجراءات الأمان الأساسية للبريد الإلكتروني والأنظمة الطرفية. تزيد هذه التقنية من فعالية الهجوم وتعقيد الكشف عنه.
تتضمن الصفحة الوهمية خطوة إضافية تتطلب من الضحية إدخال رمز وصول قبل عرض الوثيقة المفترضة. هذه الآلية تزيد من مصداقية الصفحة في نظر المستخدم، وفي الوقت ذاته، تعيق عمل العديد من أنظمة الحماية الآلية التي قد لا تمتلك الرمز الصحيح.
يقوم برنامج نصي خبيث، يكمن خلف الصفحة، باختيار المرحلة التالية من الهجوم. غالباً ما تكون هذه المرحلة عبارة عن ملف قابل للتنزيل يبدو بريئاً، مثل مستند PDF أو عقد مضغوط.
وقد أشار خبراء أمنيون إلى هذه الظاهرة، وحددوا البرمجية الخبيثة أثناء تشغيل عينات في بيئات اختبار متخصصة. لوحظت بوابة رمز الدخول، والتحقق المعتمد على الوقت، والتغليف الإضافي الذي يجعل اكتشافها صعباً.
يعرض التحليل التقني المفصل كيفية انتظار أداة التحميل لفترات زمنية محددة، ثم تقوم بفك تشفير الحمولة الخبيثة بالكامل في الذاكرة. هذه الطريقة تقدم شجرة عمليات واستدعاءات شبكة تكشف عن هذا السلوك.
الآلية الهجومية وتكتيكات التخفي
بمجرد أن يفتح الضحية الملف الوهمي، يتم تشغيل برنامج نصي صغير أو ماكرو يقوم بسحب المرحلة التالية من خادم بعيد تحت سيطرة المهاجم. يستخدم الأمر سلسلة طويلة ومشوشة، بالإضافة إلى متغيرات البيئة وكتل مشفرة لإخفاء نواياه.
يُرى نمط شائع في هذه الحملة، حيث يتم تشغيل “PowerShell” مع حمولة مشفرة ونافذة مخفية. هذا يقلل من احتمالية ملاحظة العملية من قبل المستخدم أو أنظمة المراقبة.
بعد فك التشفير، يقوم البرنامج النصي بتحميل مكون “NET” مباشرة في الذاكرة. ثم يبدأ كعملية تابعة لعملية موثوقة، مثل “explorer.exe”، ويحقن الحمولة الرئيسية في هذا المضيف.
تقوم البرمجية الخبيثة بعد ذلك بإعداد استمرارية خفيفة للهجوم بإضافة مفتاح تشغيل في سجل النظام أو مهمة مجدولة تستدعي البرنامج النصي برمز وصول جديد. هذه الآلية تضمن بقاء الإصابة قائمة حتى بعد إعادة تشغيل الجهاز.
نظراً لأن معظم العمليات الخبيثة تتم في الذاكرة وداخل عمليات موثوقة، فإن وجود سجلات قوية للنظام الطرفي ومراقبة شبكية دقيقة يصبح أمراً حيوياً للكشف عن هذه الهجمات التي تستغل اسم “DocuSign”.