تتزايد التهديدات الأمنية في عالم التكنولوجيا، حيث يستغل المهاجمون أدوات مشروعة لأغراض خبيثة. في هذا المقال، نستعرض كيفية استغلال أداة Windows Phone Link لسرقة الرسائل النصية وكلمات المرور لمرة واحدة.
يستغل المهاجمون أداة Microsoft Windows بهدف التجسس وسرقة الرسائل النصية القصيرة (SMS) وكلمات المرور لمرة واحدة (OTPs) من الأجهزة المحمولة. في حملة تهديد مستمرة بدأت في يناير، يقومون أولاً باختراق أجهزة الكمبيوتر، ثم يستخدمون البرمجيات الخبيثة لاستغلال رابط الأجهزة لاعتراض وسرقة البيانات، كما اكتشف الباحثون.
وفقًا للباحثين من Cisco Talos، تُظهر الهجمة تدفق هجوم فريد حيث يستغل المهاجمون تطبيق Microsoft Phone Link على جهاز Windows لاستغلال العلاقة الثقة التي ينشئها الأداة مع الهواتف الذكية. في تقرير نُشر هذا الأسبوع. يُعتبر Phone Link، الذي تم تثبيته مسبقًا على Windows 10 و11 والذي كان يُعرف سابقًا باسم “Your Phone”، تطبيقًا مدمجًا في Windows يقوم بمزامنة الرسائل النصية والإشعارات والمكالمات بين الأجهزة المحمولة وأجهزة الكمبيوتر.
يستخدم المهاجمون مزيجًا من برمجية CloudZ للتجسس عن بُعد (RAT) وملحق جديد يُدعى Pheno، للاختراق بين Phone Link والأجهزة. يقوم Pheno بمسح مستمر لعمليات Phone Link النشطة ويمكنه اعتراض البيانات الحساسة مثل الرسائل النصية وكلمات المرور لمرة واحدة (2FA)، كل ذلك دون الحاجة لنشر برمجيات خبيثة على الهاتف، وفقًا للباحثين.
استغلال مزامنة Phone Link عبر الأجهزة
تظهر النتائج كيف يمكن أن تخلق المزامنة عبر الأجهزة مسارًا غير متوقع لسرقة الهوية دون أن يقوم المهاجمون بالتلاعب بالجهاز المحمول نفسه، كما أخبرت Cisco Talos موقع Dark Reading. من خلال استغلال وظيفة Windows الشرعية، يمكن للمهاجمين الحصول على قدرة تجاوز 2FA – مما يلغي فعليًا خطوة المصادقة على الهوية التي يعتقد العديد من المستخدمين أنها تحمي أجهزتهم. لم ترد Microsoft على طلب Dark Reading للتعليق يوم الأربعاء حول الهجوم.
تعلمت Cisco Talos من بيانات التليمتري أن الاختراق الذي لاحظوه بدأ من متجه وصول غير معروف إلى بيئة الضحية، مما أدى إلى تنفيذ تطبيق مزيف لتحديث ScreenConnect. هذا بدوره ينفذ برنامج تحميل .NET الوسيط، الذي يقوم بعد ذلك بنشر CloudZ RAT على جهاز الضحية.
تتضمن CloudZ قدرات لسرقة بيانات الاعتماد من المتصفح، وتنفيذ أوامر shell، وتسجيل الشاشة، ونشر الملحقات، وإدارة الملفات. عند التنفيذ، تقوم بفك تشفير بيانات التكوين الخاصة بها، وتأسيس اتصال مشفر بالخادم المركزي (C2)، وتدخل وضع مُرسل الأوامر.
تخفيف وتجنب هجمات تجاوز 2FA
تُعد هذه الهجمة دليلًا آخر على أن 2FA ليست وسيلة مضمونة لحماية الحسابات الشخصية والتجارية من الاختراق، خاصة عندما قد يكون مستخدمو الأجهزة في هذه الحالة غير مدركين تمامًا لحدوث أي شيء مريب.
في الواقع، وجدت أبحاث حديثة من Proofpoint أن المهاجمين يجدون طرقًا متعددة لتجاوز المصادقة متعددة العوامل (MFA)، خاصة من خلال مجموعات التصيد، ولا تضمن تفعيلها عدم تعرض الحساب للاختراق.
في حالة هجوم Phone Link، لحماية المستخدمين من اختراق 2FA، يمكن للمدافعين استخدام طرق مصادقة ثانوية لا تعتمد على OTPs أو طرق SMS لتقليل المخاطر. يجب على المنظمات التي تستخدم أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تحتوي على Phone Link المثبت مسبقًا تحديد ما إذا كان التطبيق ضروريًا حقًا لموظفيهم، وإذا لم يكن الأمر كذلك، تعطيله لحماية أنفسهم من الهجوم، وفقًا للباحثين.
لمساعدة المدافعين على فهم ما إذا كان الهجوم قد اخترق جهاز Windows وقد يكون يستخرج البيانات من الأجهزة المتصلة، نشرت Cisco Talos مؤشرات الاختراق (IoCs) على صفحة GitHub. كما قدمت توقيع ClamAV محدد وقواعد Snort (SIDs) لاكتشاف ووقف التهديد.
تظل الحماية من الهجمات الإلكترونية تحديًا مستمرًا، ومن الضروري أن يكون المستخدمون على دراية بالمخاطر المحتملة وطرق الحماية المناسبة. تابعوا آخر الأخبار والتحديثات في مجال الأمن السيبراني.
