كشفت “سايبل لابز” للأبحاث الاستخباراتية مؤخراً عن حملة تصيّد إلكتروني معقدة تعتمد على أداة LogoKit، وهي أداة اختراق تم رصدها لأول مرة في عام 2021، وجرى توظيفها حالياً لانتحال شخصيات مؤسسات رسمية، مثل فريق الاستجابة لحالات الطوارئ الإلكترونية في المجر (HunCERT).
وتمتد هذه الحملة إلى قطاعات متعددة، بينها البنوك والخدمات اللوجستية، حيث شملت ضحايا في دول مثل المجر، وبابوا غينيا الجديدة، والولايات المتحدة، والمملكة العربية السعودية.
استغلال البنية التحتية السحابية لبناء الثقة الزائفة
تتميّز الحملة باستخدامها للبنية التحتية السحابية الموثوقة لاستضافة صفحات التصيّد، حيث تم توثيق استخدام حاويات Amazon S3 لتوفير مصداقية مزيفة، ما يصعّب رصدها من قبل المستخدمين أو أنظمة الحماية التقليدية.
كما تم دمج أداة Cloudflare Turnstile، وهي بديل لرموز CAPTCHA، بهدف تعزيز انطباع الأمان لدى الضحية، ما يزيد من احتمالية إدخال بيانات الاعتماد الشخصية.
صفحات دخول مقلّدة ومخصصة
يعتمد المخطط على صفحات دخول مزيفة تحاكي مواقع رسمية بدقة، مع عرض عناوين البريد الإلكتروني للجهات المستهدفة بشكل مسبق داخل نموذج الإدخال، وهو ما يعزز الإقناع ويزيد من فاعلية الهجوم.
وتتضمن الروابط الخبيثة نطاقات مثل:
flyplabtk.s3.us-east-2.amazonaws.comchyplast.onrender.comjstplastoss-bk.s3.us-east-2.amazonaws.comecowhizz.co.za
وقد رُصدت نماذج تحتوي على عناوين بريد إلكتروني سعودية ضمن الحقول الظاهرة للمستخدمين.
منصة موحدة لجمع البيانات وسرّية عالية
تستخدم الحملة نطاقاً خاصاً للتحكم والتوجيه mettcoint.com، تم تسجيله في أكتوبر 2024، وما يزال نشطاً دون تسجيل أي حالات اكتشاف على منصات الأمن السيبراني مثل VirusTotal حتى يوليو 2025، ما يؤكد مستوى التمويه العالي.
وكشفت البنية المفتوحة على هذا النطاق عن صفحات تصيّد إضافية تنتحل خدمات معروفة مثل WeTransfer، واستهدفت مؤسسات مصرفية في بابوا غينيا الجديدة، وشركات لوجستية في المملكة.
أساليب تمويه متقدمة وتأخير كشف الاختراق
لإطالة مدة استغلال الحسابات المخترقة، يعرض الموقع رسالة خطأ مزيفة عند إدخال البيانات:
“حدث خطأ أثناء إرسال النموذج. يرجى المحاولة مرة أخرى”، ما يقلّل من احتمال تنبّه الضحية لعملية الاختراق الفوري.
وتتميّز الأداة LogoKit بإمكانية تخصيص الصفحات تلقائياً من خلال واجهات برمجة تطبيقات مثل Clearbit وGoogle S2 Favicon، لسحب الشعارات والعناصر البصرية المرتبطة بالبريد الإلكتروني المدخل، ما يسهّل تكييف الحملة مع مؤسسات متعددة دون الحاجة لتعديلات يدوية.
توصيات أمنية
تحذر الجهات المتخصصة من تصاعد مستوى التعقيد في حملات التصيّد، وتوصي بتطبيق تدابير استباقية مثل استخدام المصادقة متعددة العوامل (MFA)، وبرامج التدريب على الوعي السيبراني، إلى جانب حلول استخبارات العلامة التجارية مثل منصة Cyble Vision، لرصد محاولات انتحال الهوية المؤسسية.
