زيادة الهجمات الإلكترونية: 17500 نطاق تصيد يستهدف 316 علامة تجارية
تم ربط عروض التصيد كخدمة (PhaaS) المعروفة باسم Lighthouse و Lucid بأكثر من 17500 نطاق تصيد يستهدف 316 علامة تجارية من 74 دولة.
“لقد ارتفعت عمليات نشر التصيد كخدمة (PhaaS) بشكل ملحوظ مؤخرًا،” كما ذكر تقرير جديد من Netcraft. “يتقاضى مشغلو PhaaS رسومًا شهرية مقابل برنامج التصيد مع قوالب مثبتة مسبقًا تتظاهر، في بعض الحالات، بالعديد من العلامات التجارية من دول حول العالم.”
تم توثيق Lucid لأول مرة من قبل شركة PRODAFT السويسرية للأمن السيبراني في وقت سابق من هذا الشهر، حيث تم تفصيل قدرة مجموعة أدوات التصيد على إرسال رسائل smishing عبر Apple iMessage و Rich Communication Services (RCS) لنظام Android.
الجهات الفاعلة في التصيد
يُعتقد أن الخدمة هي عمل لمجموعة تهديدات تتحدث الصينية تُعرف باسم مجموعة XinXin (changqixinyun)، والتي استخدمت أيضًا مجموعات أدوات تصيد أخرى مثل Lighthouse وDarcula في عملياتها. تم تطوير Darcula بواسطة جهة فاعلة تُدعى LARVA-246 (المعروفة أيضًا باسم X667788X0 أو xxhcvv)، بينما تم ربط تطوير Lighthouse بـ LARVA-241 (المعروفة أيضًا باسم Lao Wang أو Wang Duo Yu).
تمكن منصة Lucid PhaaS العملاء من تنفيذ حملات تصيد على نطاق واسع، مستهدفة مجموعة واسعة من الصناعات، بما في ذلك شركات الطرق السريعة، الحكومات، شركات البريد، والمؤسسات المالية.
تشمل هذه الهجمات أيضًا معايير مختلفة – مثل الحاجة إلى وكيل مستخدم خاص بالجوال، بلد البروكسي، أو مسار تم تكوينه بواسطة المحتال – لضمان أن المستهدفين فقط يمكنهم الوصول إلى عناوين URL للتصيد. إذا زار مستخدم آخر غير المستهدف عنوان URL، يتم تقديم واجهة متجر مزيفة عامة بدلاً من ذلك.
تحليل Netcraft
في المجمل، قالت Netcraft إنها اكتشفت عناوين URL للتصيد تستهدف 164 علامة تجارية مقرها 63 دولة مختلفة تستضيفها منصة Lucid. استهدفت عناوين URL للتصيد من Lighthouse 204 علامة تجارية من 50 دولة مختلفة.
مثل Lucid، يقدم Lighthouse تخصيص القوالب ومراقبة الضحايا في الوقت الحقيقي، ويفتخر بقدرته على إنشاء قوالب تصيد لأكثر من 200 منصة حول العالم، مما يشير إلى تداخل كبير بين مجموعتي أدوات PhaaS. تتراوح أسعار Lighthouse من 88 دولارًا للأسبوع إلى 1588 دولارًا للاشتراك السنوي.
“بينما يعمل Lighthouse بشكل مستقل عن مجموعة XinXin، فإن توافقه مع Lucid من حيث البنية التحتية وأنماط الاستهداف يبرز الاتجاه الأوسع للتعاون والابتكار داخل نظام PhaaS،” كما ذكرت PRODAFT في أبريل.
الهجمات الحديثة
استخدمت حملات التصيد التي تستخدم Lighthouse عناوين URL تتظاهر بخدمة البريد الألبانية Posta Shqiptare، بينما تقدم نفس الموقع المزيف لغير المستهدفين، مما يشير إلى وجود رابط محتمل بين Lucid وLighthouse.
“Lucid وLighthouse هما مثالان على مدى سرعة نمو وتطور هذه المنصات ومدى صعوبة تعطيلها في بعض الأحيان،” قال الباحث في Netcraft هاري إيفريت.
تأتي هذه التطورات في الوقت الذي كشفت فيه الشركة التي تتخذ من لندن مقرًا لها أن هجمات التصيد تتحرك بعيدًا عن قنوات الاتصال مثل Telegram لنقل البيانات المسروقة، مما يرسم صورة لمنصة لم تعد تعتبر ملاذًا آمنًا للمجرمين الإلكترونيين.
بدلاً من ذلك، يعود المحتالون إلى البريد الإلكتروني كقناة لجمع بيانات الاعتماد المسروقة، حيث شهدت Netcraft زيادة بنسبة 25% في فترة شهر. كما تم العثور على المجرمين الإلكترونيين يستخدمون خدمات مثل EmailJS لجمع تفاصيل تسجيل الدخول ورموز المصادقة الثنائية (2FA) من الضحايا، مما يلغي الحاجة لاستضافة بنيتهم التحتية الخاصة.
“تعود هذه العودة جزئيًا إلى الطبيعة الفيدرالية للبريد الإلكتروني، مما يجعل عمليات الإزالة أكثر صعوبة،” كما قال الباحث الأمني بن ماكنتوش. “يجب الإبلاغ عن كل عنوان أو SMTP relay بشكل فردي، على عكس المنصات المركزية مثل Discord أو Telegram. كما أن الأمر يتعلق بالراحة. إنشاء عنوان بريد إلكتروني مؤقت يظل سريعًا، مجهول الهوية، وبتكلفة شبه مجانية.”
الهجمات الجديدة
تتبع النتائج أيضًا ظهور نطاقات مشابهة جديدة تستخدم حرف الهيراغانا الياباني “ん” لتقديم عناوين URL لمواقع وهمية تبدو مشابهة تمامًا لتلك الشرعية فيما يُعرف بهجوم homoglyph. تم التعرف على ما لا يقل عن 600 نطاق مزيف يستخدم هذه التقنية في هجمات تستهدف مستخدمي العملات المشفرة، مع تسجيل أول استخدام في 25 نوفمبر 2024.
تتظاهر هذه الصفحات بأنها ملحقات متصفح شرعية على متجر Chrome الإلكتروني، مما يخدع المستخدمين غير المشتبه بهم لتثبيت تطبيقات محفظة مزيفة لـ Phantom وRabby وOKX وCoinbase وMetaMask وExodus وPancakeSwap وBitget وTrust، والتي تهدف إلى التقاط معلومات النظام أو جمع عبارات البذور، مما يمنح المهاجمين السيطرة الكاملة على محافظهم.
“من النظرة السريعة، من المفترض أن يبدو مثل شريط مائل ‘/،'” كما قالت Netcraft. “وعندما يتم إسقاطه في اسم النطاق، من السهل أن نرى كيف يمكن أن يكون مقنعًا. هذه التبديلة الصغيرة كافية لجعل نطاق موقع التصيد يبدو حقيقيًا، وهو الهدف من المهاجمين الذين يحاولون سرقة بيانات تسجيل الدخول والمعلومات الشخصية أو توزيع البرمجيات الضارة.”
في الأشهر الأخيرة، استغلت عمليات الاحتيال أيضًا الهويات التجارية لشركات أمريكية مثل Delta Airlines وAMC Theatres وUniversal Studios وEpic Records لتسجيل الأشخاص في مخططات تقدم وسيلة لكسب المال من خلال إكمال سلسلة من المهام، مثل العمل كوكيل لحجز الرحلات.
المشكلة هنا هي أنه من أجل القيام بذلك، يُطلب من الضحايا المحتملين إيداع ما لا يقل عن 100 دولار من العملات المشفرة في حساباتهم، مما يسمح للمهاجمين بتحقيق أرباح غير مشروعة.
“توضح هذه الاحتيالات كيف يقوم الممثلون الانتهازيون بتسليح قوالب تقليد العلامات التجارية المدفوعة عبر واجهات برمجة التطبيقات لتوسيع الاحتيال المالي عبر عدة مجالات،” كما قال الباحث في Netcraft روب دانكان.
