قام المهاجمون المسؤولون عن حملة تصيد احتيالي واسعة طالت العديد من المستخدمين، بالكشف عن عدد كبير من كلمات المرور وبيانات الاعتماد التي تم سرقتها خلال الهجمات، عبر جعلها متاحة علناً للجمهور من خلال استعلامات غوغل Google queries.

وأعلنت شركةCheck Point Research ، جنباً إلى جنب مع خبراء أمن من شركة الأمن السيبراني Otorio، عن تفاصيل التحقيق في حملة التصيد الاحتيالي واسعة النطاق التي استهدفت الآلاف من المنظمات العالمية.

كانت الحملة نشطة منذ أغسطس 2020، حيث استخدم المهاجمون رسائل البريد الإلكتروني التي تنكرت على شكل إشعارات مسح من Xerox  للإخطارات والتي تحث المستلمين على فتح مرفق HTML ضار. سمحت هذه الحيلة للمهاجمين بتجاوز نظام أمن مايكروسوفت Microsoft Office 365 Advanced Threat Protection (ATP)  وسرقة بيانات اعتماد أكثر من ألف موظف.

 

طريقة شن الهجوم الاحتيالي

فبمجرد أن تنقر الضحية بشكل مزدوج على ملف HTML، يتم فتح صورة غير واضحة مع بريد إلكتروني مكتوب مسبقًا داخل المتصفح. وعند تشغيل الملف، سيتم تنفيذ كود JavaScript في الخلفية قادر على جمع كلمة المرور وإرسال البيانات إلى خادم المهاجمين، قبل إعادة توجيه المستخدم إلى صفحة تسجيل الدخول الشرعية إلى موقع Office 365.

كما استخدم المخادعون بنية تحتية فريدة خاصة بهم ومواقع WordPress مخترقة لتخزين البيانات المسروقة. إذ تم اكتشاف العشرات من خوادم ووردبرس المخترقة التي استضافت صفحة PHP الضارة والمسماة go.php أو post.php أو gate.php أو rent.php أو rest.php  .

عادة ما يفضل المهاجمون استخدام الخوادم المخترقة بدلاً من البنية التحتية الخاصة بهم، وذلك بسبب السمعة المعروفة لمواقع الويب الشهيرة. فكلما زادت شهرة الموقع على نطاق واسع، زادت فرص عدم حظر موردي خدمات الأمان للبريد الإلكتروني الضار.

 

كلمات المرور المسروقة منشورة على غوغل

لاحظ خبراء الأمن السيبراني أن المشغلين الذين يقفون وراء حملة التصيد الاحتيالي يركزون على الشركات العاملة في قطاعي البناء والطاقة. فيما اكتشفوا عن طريق الخطأ كلمات المرور وبيانات الاعتماد المسروقة في الهجمات متاحة بشكل علني للجميع، وذلك من خلال بحث بسيط على متصفح غوغل.

وأوضح التحقيق: “من المثير للاهتمام، أنه بسبب خطأ بسيط في سلسلة الهجوم، كشف المهاجمون الذين يقفون وراء حملة التصيد الاحتيالي عن بيانات الاعتماد التي سرقوها في شبكة الإنترنت العام، عبر العشرات من خوادم منطقة الإسقاط التي يستخدمها المهاجمون. وبالتالي، عبر إجراء بحث بسيط على غوغل، يمكن لأي شخص العثور على كلمة المرور الخاصة بأحد عناوين البريد الإلكتروني المسروقة والمخترقة. هذه هدية لكل مهاجم انتهازي”.