أطلقت مجموعات تهديد سيبرانية حملة تصيد تستهدف الموظفين عبر رسائل بريدية تتظاهر بأنها تنبيهات صادرة عن أنظمة تصفية البريد المزعج في مؤسساتهم. وتزعم الرسائل أن الجهة قامت بترقية نظام Secure Message، وأن عدداً من الرسائل الواردة لم يصل إلى صندوق الوارد، مع مطالبة المستخدم بالضغط على زر Move to Inbox لاسترجاع الرسائل المعلقة.
وتعتمد الحملة على تنسيق بصري متقن يعرض عناوين رسائل عامة وتقارير تسليم تبدو مألوفة للمستخدم، بما يمنحها مظهراً يوحي بالشرعية. وتحتوي الرسالة أيضاً على رابط لإلغاء الاشتراك في التنبيهات، في محاولة لتعزيز مصداقيتها، لكن كلاً من الزر والرابط يعيدان توجيه المستخدم عبر موقع cbssports.com المخترق قبل الوصول إلى صفحة التصيد المستضافة على mdbgo.io.
وتتضمن الروابط معرف البريد الإلكتروني للمستخدم مشفراً بصيغة base64، ما يسمح لصفحة تسجيل الدخول الوهمية بعرض اسم النطاق الخاص بالمؤسسة، في خطوة تجعل الهجوم أكثر تخصيصاً وتضليلاً. وبعد تحذيرات أولية من باحثي Unit42، رصد محللو Malwarebytes تطوراً سريعاً في تقنيات الحملة، إذ تبين أن صفحة تسجيل الدخول ليست مجرد أداة لجمع بيانات الاعتماد، بل تستخدم شيفرة معقدة لإخفاء هدفها الحقيقي.
تكمن خطورة هذه الحملة في بنيتها التقنية، إذ لا يعتمد المهاجمون على الأساليب التقليدية التي تجمع بيانات الدخول بعد الضغط على زر التسجيل. وبدلاً من ذلك، تستخدم الحملة تقنية Websocket لإنشاء قناة اتصال مستمرة بين متصفح الضحية وخادم المهاجم، على نحو يشبه إبقاء خط الهاتف مفتوحاً دون إغلاقه.
وتتيح هذه القناة تبادل البيانات فوراً دون الحاجة إلى تحديث الصفحة. وعند إدخال البريد الإلكتروني أو كلمة المرور في النموذج الوهمي، تصل البيانات للمهاجمين لحظة بلحظة، حرفاً بعد حرف، ما يمنحهم القدرة على الدخول إلى البريد الإلكتروني ومساحات التخزين السحابية والخدمات المرتبطة خلال ثوانٍ.
كما تسمح هذه الآلية للمهاجمين بإرسال مطالبات إضافية للحصول على رموز التحقق الثنائي، الأمر الذي يمكنهم من تجاوز طبقات الحماية الإضافية والوصول الكامل إلى الحساب.
