تقويم جوجل وسيلة لسرقة البيانات: حملة تجسس إلكتروني متطورة

كشفت مجموعة جوجل لاستخبارات التهديدات (GTIG) عن استخدام تقويم جوجل كوسيلة خفية للتواصل من قبل مجموعة قرصنة إلكترونية، هدفت إلى استخراج معلومات حساسة من ضحاياها عبر حملة متقدمة من الهجمات السيبرانية.

اكتشاف موقع حكومي مُخترق يستخدم لتوزيع البرمجيات الخبيثة

في أكتوبر 2024، تمكّن فريق الأمن السيبراني في جوجل من رصد موقع إلكتروني حكومي مخترق يُستخدم لنشر برمجيات ضارة. وعند إصابة الجهاز المستهدف، تقوم البرمجية بإنشاء منفذ خلفي باستخدام تقويم جوجل، مما يسمح للمهاجمين بالتواصل وسرقة البيانات دون إثارة الانتباه.

وقد سارعت جوجل إلى تعطيل الحسابات والأنظمة المستخدمة في هذا الهجوم.

تفاصيل الهجوم الإلكتروني ودور APT41

أوضحت GTIG أن الجهة المسؤولة عن الهجوم هي مجموعة القرصنة المعروفة باسم APT41 (وتُعرف أيضًا بـ HOODOO)، والتي يُعتقد أنها مرتبطة بالحكومة الصينية.

اعتمدت APT41 على هجمات التصيد الاحتيالي الموجه لإيصال البرامج الضارة، حيث أُرسلت رسائل بريد إلكتروني مخصصة تحتوي على رابط إلى ملف ZIP مستضاف في الموقع الحكومي المُخترق.

آلية الهجوم: ملفات مموّهة وصور مزيفة

عند فتح الملف، يظهر للمستخدم ملف اختصار (LNK) مموه ليبدو كملف PDF، إلى جانب مجلد يحتوي على سبع صور JPG لحشرات وعناكب. لكن في الواقع، كانت الصورتان الأخيرتان تحملان حمولة خبيثة مشفرة وملف DLL لفك التشفير.

بمجرد الضغط على ملف الاختصار، يتم تفعيل الملفات الخبيثة، ويُحذف ملف LNK تلقائيًا ويُستبدل بملف PDF مزيف يحتوي على رسالة توحي بأنها وثيقة تصدير بيئية، مما يُساعد في إخفاء العملية عن الضحية.

مراحل تنفيذ الهجوم

كشفت جوجل أن البرمجية الخبيثة تعمل عبر ثلاث مراحل متتالية، تتميز جميعها باستخدام تقنيات تمويه متقدمة لتفادي الكشف:

المرحلة الأولى: فك تشفير ملف DLL باسم PLUSDROP وتشغيله في الذاكرة.

المرحلة الثانية: تشغيل عملية نظام