نحن معرضون بشكل متزايد لتقنيات التصيد والأساليب الأكثر تطوراً لحقن البرامج الضارة في أجهزة الكمبيوتر الخاصة بالمستخدمين. في حين أنه يتعين علينا أن نكون حذرين عند تصفح بعض المواقع الإلكترونية وألا ننخدع عند التحقق من بريدنا الإلكتروني أو رسائلنا النصية القصيرة، فقد تكون هناك دائمًا أوقات نقع فيها في فخ. ومن هنا تأتي أهمية استخدام كلمات مرور مختلفة ومعقدة دائمًا، وتفعيل آليات المصادقة الثنائية، إلى جانب توصيات أخرى مثل التصفح باستخدام VPN.
ومن بين أحدث حالات الجرائم الإلكترونية تلك التي اكتشفها فريق الاستخبارات في شركة مايكروسوفت، والذي حدد حملة إعلانية خبيثة متطورة استخدمت مستودعات GitHub لتوزيع البرامج الضارة. هذه العملية أثرت على نحو مليون جهاز، ما جعلها عرضة لسرقة المعلومات.
بدأت الحملة على المواقع الإلكترونية التي تشارك الأفلام والمسلسلات بطريقة غير مصرح بها، حيث تم إدراج إعلانات ضارة مع عمليات إعادة توجيه مخفية. حققت هذه الإعلانات إيرادات مقابل كل مشاهدة أو نقرة من خلال منصات إعلانية خادعة. لكن هدفهم الرئيسي لم يكن مجرد الربح المالي، بل إعادة توجيه الضحايا إلى مواقع خطيرة.
تم إرسال المستخدمين المتأثرين عبر سلسلة من عمليات إعادة التوجيه، مروراً بواحد أو اثنين من الوسطاء الضارين قبل الوصول إلى موقع الويب النهائي. في هذه المرحلة النهائية، قامت الصفحة بإعادة توجيه المستخدم إلى مستودع GitHub الذي يحتوي على الكود الأولي للهجوم.
بمجرد وصول الضحية إلى GitHub، قام عن غير قصد بتنزيل الحمولة الأولى، والتي نفذت التعليمات البرمجية المصممة لنشر حمولتين إضافيتين. جمعت أولى هذه الحمولات معلومات حول الجهاز المصاب، بما في ذلك بيانات حول ذاكرة الوصول العشوائي (RAM)، وقدرات الرسومات، ودقة الشاشة، ونظام التشغيل، ومسارات المستخدم.
يختلف المستوى الثالث من العدوى حسب الجهاز المصاب، لكنه يتضمن عادةً أنشطة ضارة مثل التواصل مع خوادم القيادة والتحكم (C2). سمح هذا الاتصال للمهاجمين بتنزيل ملفات أكثر خطورة، واستخراج معلومات النظام، وتطبيق تقنيات للتهرب من آليات الأمان.
كان أحد الأهداف الرئيسية للحملة هو سرقة بيانات الاعتماد المخزنة في متصفحات الويب. وللقيام بذلك، قام المهاجمون بتصميم نظام إعادة توجيه متعدد الطبقات (بين أربعة وخمسة مستويات) يسمح بنشر التعليمات البرمجية الخبيثة تدريجيا، مما يضمن استمرار الهجوم على الأجهزة المصابة.
أكدت شركة مايكروسوفت أن مستودعات البرامج الضارة المستخدمة على GitHub قد تمت إزالتها الآن. بالإضافة إلى ذلك، قدمت الشركة تقريرًا مفصلاً عن مستوى الأجهزة المعرضة للخطر والبيانات الأخرى ذات الصلة للمساعدة في الكشف عن التهديدات المماثلة والتخفيف منها في المستقبل.