كشفت أبحاث أمنية حديثة عن حملة تصيد صوتي متطورة تستغل أدوات التعاون من مايكروسوفت، مثل Microsoft Teams و QuickAssist، لزرع برمجيات خبيثة تعتمد على .NET. تهدف هذه الهجمة إلى تجاوز الإجراءات الأمنية التقليدية من خلال استغلال الثقة لدى المستخدمين.
تعتمد هذه الحملة الجديدة على أسلوب التصيد الصوتي (Vishing)، حيث يتصل المهاجمون بالمستخدمين عبر مكالمات Microsoft Teams، متنكرين في هيئة موظفي قسم تقنية المعلومات رفيعي المستوى. يهدف هذا التخفي لخلق شعور بالضرورة الملحة يدفع الضحية لاتخاذ إجراءات تفتح الباب أمام برمجياتهم الخبيثة.
الهجوم: استغلال Teams و QuickAssist لزرع البرمجيات الخبيثة
تبدأ عملية الهجوم بمكالمة واردة عبر Microsoft Teams من حساب خارجي. يستخدم المهاجمون اسم عرض مزيف ليبدو وكأنه حساب داخلي رسمي. يعتمدون على استراتيجيات الهندسة الاجتماعية لإقناع الضحية بفتح تطبيق Microsoft QuickAssist، وهو أداة دعم عن بعد مدمجة في نظام ويندوز.
هذه الخطوة حاسمة لأنها تسمح للمهاجمين بتجاوز العديد من الضوابط الأمنية التي قد تمنع الاتصال بأدوات خارجية غير معروفة. بمجرد الحصول على الوصول، يبدأ المهاجمون في نشر الحمولة الخبيثة.
آلية العمل والانتشار
بعد الوصول الأولي، يتم توجيه الضحية إلى نطاق ويب خبيث ciscocyber[.]com، بعد حوالي عشر دقائق من المكالمة. قد يكون هذا التأخير تكتيكًا لتقليل الشكوك قبل المرحلة النهائية للهجوم.
في هذه المرحلة، يتم تقديم ملف يبدو ظاهريًا كملف تحديث شرعي للنظام، ولكنه في الواقع برمجية خبيثة. يكمن الخطر في أن هذه البرمجيات الخبيثة المطورة بلغة .NET تسمح للمهاجمين بتنفيذ تعليمات برمجية مباشرة في ذاكرة النظام، مما يقلل بشكل كبير من الآثار الفنية التي يمكن للمحققين اكتشافها.
هذا النهج “الخالي من الملفات” يجعل من الصعب على أنظمة الكشف التقليدية رصد الهجمة، حيث لا تترك الكثير من الأدلة على القرص الصلب.
التحليل التقني لآلية الإصابة
يعتمد جوهر هذا الهجوم على سلسلة إصابة معقدة تتضمن ملفًا تنفيذيًا مبنيًا على .NET Core 8.0. الملف الخبيث، والمسمى updater.exe، يعمل كغلاف لمكتبة مضمنة تسمى loader.dll.
عند تشغيل هذا الملف، يقوم loader بإنشاء اتصال بخادم القيادة والتحكم (C2) على العنوان jysync[.]info لجلب مفاتيح تشفير محددة. هذه المفاتيح ضرورية للمرحلة التالية، حيث تقوم البرمجية الخبيثة بتنزيل حمولة مشفرة.
تستخدم عملية فك التشفير مزيجًا من خوارزميات AES-CBC وعمليات XOR لفك تشفير الحمولة الخبيثة. والأهم من ذلك، أن الكود المفك تشفيره لا يتم كتابته على القرص أبدًا. بدلاً من ذلك، يتم تحميله مباشرة في ذاكرة النظام باستخدام تقنية .NET reflection، مما يضمن عملية اختراق مستمرة وخفية للغاية.
يُسلط هذا النوع من الهجمات الضوء على التطور المستمر لأساليب التهديدات السيبرانية، والتحديات التي تواجه المؤسسات في حماية بياناتها وأنظمتها في ظل الاعتماد المتزايد على أدوات التعاون الرقمي.