رصدت شركة Push Security حملة تصيد جديدة تستهدف المدراء التنفيذيين الماليين عبر منصة LinkedIn، يستخدم خلالها المهاجمون رسائل مباشرة تنتحل دعوات للانضمام إلى مجلس إدارة صندوق استثماري مزعوم بهدف سرقة بيانات دخول حسابات Microsoft.
وأفادت الشركة أنها أوقفت واحدة من هذه الهجمات التي بدأت برسالة عبر LinkedIn تتضمن رابطاً خبيثاً يقود إلى سلسلة من عمليات إعادة التوجيه وصولاً إلى صفحة تسجيل دخول مزيفة.
وتزعم الرسائل أن الجهة المرسلة تمثل صندوق استثمار جديد باسم Common Wealth في أمريكا الجنوبية، وتقدم دعوة تنفيذية للانضمام إلى مجلس إدارته بالتعاون مع فرع إدارة الأصول في شركة AMCO. وتنتهي الرسالة بعبارة تحث المتلقي على النقر لمعرفة المزيد عن الفرصة الاستثمارية.
سلسلة إعادة توجيه معقدة لإخفاء مصدر الهجوم
توضح Push Security أن الرابط يقود أولاً إلى إعادة توجيه مفتوحة من Google، ثم إلى موقع يتحكم فيه المهاجمون، ومنه إلى صفحة مخصصة مستضافة على نطاق firebasestorage.googleapis.com تظهر واجهة مزيفة بعنوان LinkedIn Cloud Share، تعرض وثائق زائفة حول العضوية في المجلس ومسؤولياتها.
وعند محاولة فتح أي من هذه الوثائق، يظهر تنبيه يطلب النقر على زر View with Microsoft للوصول إليها. ويؤدي النقر إلى توجيه جديد نحو نطاق login.kggpho.icu، حيث تظهر صفحة تحتوي على اختبار Cloudflare Turnstile للتحقق من أن المستخدم ليس روبوتاً، وهي تقنية يستخدمها المهاجمون لمنع أدوات الأمن الآلية من تحليل الموقع أو اكتشافه.
وأوضحت الشركة أن المهاجمين يستخدمون تقنيات الحماية من الروبوتات مثل CAPTCHA وCloudflare Turnstile لتفادي فحص مواقعهم آلياً، مما يجعل الصفحات الخبيثة غير قابلة للرصد من أدوات المراقبة التلقائية.
وبعد تجاوز التحقق، تحمل صفحة تسجيل دخول مزيفة تبدو كواجهة Microsoft أصلية، لكنها في الواقع موقع تصيد من نوع Adversary-in-the-Middle (AITM) يهدف إلى سرقة بيانات الاعتماد وملفات تعريف الجلسات.
التصيد ينتقل من البريد الإلكتروني إلى المنصات المهنية
قال جاك لوف، رئيس المنتجات في Push Security، إن التصيد لم يعد مقتصراً على البريد الإلكتروني، بل أصبح يحدث عبر المنصات التي يتواصل فيها التنفيذيون بشكل يومي. وأضاف أن نحو 34% من محاولات التصيد التي رصدت خلال الشهر الماضي جاءت من قنوات غير البريد الإلكتروني مثل LinkedIn، مقارنة بأقل من 10% قبل ثلاثة أشهر فقط.
وأوضح أن المهاجمين باتوا أكثر ذكاء في اختيار أماكن التواصل الحقيقية مع الضحايا، في حين يتعين على فرق الأمن تطوير أساليب دفاع تتماشى مع هذا التغير السريع.
وذكرت الشركة أن هذه الحملة هي الثانية خلال 6 أسابيع التي تستهدف مستخدمي LinkedIn، بعد حملة سابقة في سبتمبر الماضي طالت التنفيذيين في قطاع التكنولوجيا.
توصيات للمستخدمين التنفيذيين
تحذر الجهات الأمنية من قبول دعوات أو عروض غير متوقعة عبر LinkedIn، خصوصاً تلك التي تدعي فرصاً استثمارية أو مناصب في مجالس الإدارة. وينبغي التحقق من هوية المرسل وصحة العرض قبل التفاعل معه، وتجنب النقر على أي روابط داخل الرسائل المباشرة.
كما ينصح بالحذر من النطاقات ذات النهايات غير المألوفة مثل .top و.icu و.xyz، إذ تستخدم كثيراً في حملات التصيد الاحتيالي لاستهداف المستخدمين التنفيذيين والمؤسسات المالية.
