بدأت عملية تصيد احتيالي تستهدف مستخدمي مايكروسوفت أوتلوك باللغة الإسبانية منذ مارس 2025، باستخدام أدوات متطورة تُظهر مؤشرات واضحة على استخدام الذكاء الاصطناعي في تطويرها.
وقد رُصدت هذه الحملة، التي يتم تتبعها من خلال بصمة فريدة تتكون من أربعة رموز تعبيرية للفطر مُضمنة في عبارة "OUTL"، في أكثر من 75 عملية نشر مختلفة.
تستهدف هذه العملية سرقة بيانات اعتماد البريد الإلكتروني، بالإضافة إلى عناوين IP الخاصة بالضحايا وبيانات الموقع الجغرافي، ثم تستخرج المعلومات المسروقة عبر برامج روبوت تيليجرام وروابط ديسكورد.
تحاكي أداة التصيد الاحتيالي واجهة تسجيل الدخول إلى مايكروسوفت أوتلوك مع توجيهات باللغة الإسبانية، مما يُظهر للضحايا صفحة مصادقة مقنعة.
بمجرد إدخال المستخدمين لبيانات اعتمادهم، يقوم البرنامج فورًا بإثراء البيانات المسروقة بمعلومات سياقية من خلال الاستعلام من api.iy لتحديد عنوان IP، ومن ipo للحصول على تفاصيل الموقع الجغرافي.
يحدث هذا الاستطلاع الآلي في الوقت الفعلي قبل تجميع بيانات الاعتماد وإرسالها إلى المهاجمين.
تُظهر العملية مستوىً عالياً من التخطيط التقني، حيث تُظهر نسخ متعددة أنماط تشغيل متسقة رغم التغييرات في أساليب التمويه المستخدمة.
من تحديد الحملة بعد اكتشافهم رمز الفطر التعبيري المميز، والذي شكّل نقطة ارتكاز موثوقة لتتبع عمليات النشر الإضافية.
كشف تحليل تطور مجموعة الأدوات عن عدة نسخ متميزة، تتراوح بين نصوص برمجية شديدة التمويه مزودة بآليات مضادة للتحليل، إلى شفرة برمجية غير مموهة تماماً تُشبه أنماطاً مُولّدة بواسطة الذكاء الاصطناعي.
يتميز الإصدار الأحدث، المسمى disBLOCK.js، بمسافة بادئة نظيفة، ووظائف ذات أسماء واضحة، وتعليقات باللغة الإسبانية تشرح كل مرحلة من مراحل التنفيذ، وهي خصائص ترتبط ارتباطًا وثيقًا بتوليد التعليمات البرمجية بمساعدة الذكاء الاصطناعي بدلاً من الأدوات المطورة يدويًا.
آلية الإصابة
تعتمد حزمة التصيد الاحتيالي على بنية معيارية تفصل بيانات الإعدادات عن منطق التنفيذ. في الإصدارات الأولى، كان يُستخدم ملف نصي باسم xjsx.js كحاوية للإعدادات، حيث يخزن رموز بوتات تيليجرام ومعرّفات المحادثات باستخدام تقنية التمويه بالتدوير الخفيف للمصفوفات.
يتم جمع بيانات الضحية وفق تسلسل ثابت: عند إدخال المستخدم بيانات الاعتماد عبر نموذج تسجيل الدخول المزيف، تتحقق الحزمة أولًا من صحة تنسيق البريد الإلكتروني باستخدام نمط تعبير نمطي.
ثم تُفعّل دالة fIPData، التي تُرسل طلبات HTTPS إلى واجهات برمجة تطبيقات خارجية لجمع معلومات عنوان IP والموقع.
تحافظ حمولة تسريب البيانات على تنسيق موحد في جميع الإصدارات، مُهيكلة على النحو التالي: "OUTL CORREO: [victim_email] PASSWR: [victim_password] IP: [ip_address]"، متبوعة بتفاصيل الموقع.
تُظهر عمليات التقاط الشبكة نقل البيانات عبر طلبات HTTPS POST القياسية إلى واجهات برمجة تطبيقات بوتات تيليجرام أو نقاط نهاية روابط ديسكورد.
يمثل التحول نحو روابط ديسكورد تطورًا تكتيكيًا، إذ تعمل هذه الروابط كقنوات للكتابة فقط، مما يمنع المدافعين من الوصول إلى بيانات التسريب السابقة حتى عند اكتشاف عنوان URL الخاص بالرابط.
يكشف تحليل بنية المجموعة عن نظام بيئي موجه نحو الخدمات، مع طبقات نشر مُجزأة عمدًا، مع الحفاظ على تقارب انتقائي على مستوى التسريب، مما يشير إلى نموذج "التصيد الاحتيالي كخدمة" حيث قد يستخدم مُشغلون مختلفون نفس مجموعة الأدوات الأساسية.
.png "English"){kind=small}
0 تعليقات