يكشف هذا الاكتشاف، الذي يُنسب إلى خبراء سيسكو تالوس، أن هذا الهجوم مستمر منذ يناير 2026 على الأقل. والهدف الرئيسي للمجرمين الإلكترونيين هو سرقة بيانات الاعتماد ورموز التحقق لمرة واحدة (OTP)، المستخدمة عادةً في أنظمة التحقق بخطوتين.
يكمن مفتاح الهجوم في إضافة خبيثة تُدعى Pheno، مُدمجة في حصان طروادة CloudZ المعروف باختراق أنظمة الوصول عن بُعد. يستطيع هذا المكون اكتشاف ما إذا كان لدى المستخدم اتصال Mobile Link نشط بين حاسوبه وهاتفه الذكي. ومن ثم، يصل إلى قاعدة بيانات النظام المحلية حيث تُخزَّن الرسائل والإشعارات المُزامنة.
هذا يعني أن المهاجمين يستطيعون قراءة رسائل SMS ورموز التحقق مباشرةً من جهاز الكمبيوتر دون اختراق الجهاز المحمول. بعبارة أخرى، قد يمتلك المستخدم هاتفًا آمنًا، لكن بياناته قد تتعرض للاختراق إذا كان جهاز الكمبيوتر الخاص به مصابًا.
إضافةً إلى هذه الوظيفة، يتضمن برنامج CloudZ قدرات متقدمة نموذجية لهذا النوع من البرامج الخبيثة. فهو قادر على إدارة الملفات، وتنفيذ الأوامر عن بُعد، وتسجيل الشاشة، بل وحتى تثبيت أو إزالة وحدات إضافية حسب حاجة المهاجم. كما يستخدم تقنيات لإخفاء حركة مرور البيانات الخاصة به على أنها تصفح ويب مشروع، مما يجعل اكتشافه صعباً.
بحسب الباحثين، تبدأ عملية الإصابة بتحديث برمجي مزيف يخدع المستخدم. وبمجرد تنفيذه، يقوم بتثبيت سلسلة من البرامج الضارة التي تنشر في النهاية برنامج التجسس عن بُعد (RAT) على النظام وتضمن استمراريته من خلال مهام مجدولة. علاوة على ذلك، يتضمن آليات لتجنب الكشف عنه في بيئات التحليل أو الأجهزة الافتراضية.
ينصح الخبراء باتخاذ أقصى درجات الحيطة والحذر. ومن أهم هذه التدابير تجنب استخدام الرسائل النصية القصيرة كوسيلة للتحقق كلما أمكن ذلك، واللجوء إلى تطبيقات مصادقة أكثر أماناً.
ليست هناك تعليقات:
إرسال تعليق