مايكروسوفت تُسقط مستودعات GitHub المستخدمة في حملة إعلانات ضارة استهدفت مليون جهاز

أعلنت مايكروسوفت عن إزالة عدد غير محدد من مستودعات GitHub التي استُخدمت في حملة إعلانات ضارة (Malvertising) واسعة النطاق، أثّرت على ما يقارب مليون جهاز حول العالم.

كيف بدأت الهجمات؟

اكتشف محللو التهديدات لدى مايكروسوفت هذه الهجمات في ديسمبر 2024 بعد رصد عدد كبير من الأجهزة تقوم بتحميل برمجيات خبيثة من مستودعات GitHub، والتي كانت تُستخدم لاحقًا لنشر سلاسل من البرمجيات الضارة الأخرى على الأنظمة المخترقة.

آلية الهجوم عبر الإعلانات الضارة

وجدت مايكروسوفت أن القراصنة قاموا بحقن إعلانات ضارة داخل مقاطع الفيديو على مواقع البث غير القانونية، مما أدى إلى إعادة توجيه الضحايا إلى مستودعات GitHub الخبيثة التي يسيطر عليها المهاجمون.

وشرحت مايكروسوفت هذه الآلية قائلة:
“تتضمن مواقع البث هذه أدوات إعادة توجيه مضمنة داخل إطارات الفيديو بهدف تحقيق أرباح من منصات الإعلانات الضارة، حيث تمر عمليات إعادة التوجيه عبر عدة مواقع وسيطة قبل أن تنقل الضحية إلى مستودع GitHub الذي يحتوي على البرمجيات الخبيثة.”

ماذا تفعل البرمجيات الخبيثة؟

بمجرد تحميل البرمجيات الضارة من مستودعات GitHub، تبدأ في تنفيذ عدد من العمليات، من بينها:

• جمع معلومات النظام التفصيلية (حجم الذاكرة، مواصفات الرسوميات، دقة الشاشة، نظام التشغيل، مسارات المستخدم).
• إرسال البيانات المسروقة إلى خوادم القراصنة.
• تنزيل ونشر حمولات إضافية من البرمجيات الضارة.

مراحل الهجوم المعقدة

1. المرحلة الأولى: تنتقل الضحية من موقع بث غير قانوني إلى مستودع GitHub يحتوي على البرمجيات الضارة.
2. المرحلة الثانية: يتم نشر برمجيات خبيثة على الجهاز لإجراء مسح للنظام وسرقة البيانات.
3. المرحلة الثالثة: يُستخدم PowerShell لتحميل تروجان NetSupport، الذي يتيح للمهاجمين الوصول عن بُعد إلى الجهاز، كما يتم زرع برامج تجسس مثل Lumma Infostealer و Doenerium لجمع بيانات المستخدم وكلمات المرور المخزنة في المتصفح.
4. المرحلة الرابعة: يتم تنفيذ برمجيات إضافية باستخدام AutoIt و JavaScript، مما يساعد في تحقيق الاستمرارية على النظام والتخفي من برامج الحماية.
5. المرحلة الأخيرة: تُستخدم أدوات مثل RegAsm و PowerShell لفتح الملفات وتفعيل تصحيح أخطاء المتصفح عن بُعد وسرقة المزيد من البيانات. في بعض الحالات، يتم تعطيل Windows Defender لتسهيل استمرار نشاط البرمجيات الضارة.

استضافة البرمجيات الضارة على منصات متعددة

رغم أن GitHub كان المنصة الأساسية لاستضافة الحمولات الضارة في المرحلة الأولى، فقد رصدت مايكروسوفت أيضًا استضافة بعض الملفات الخبيثة على Dropbox وDiscord.

من يقف وراء الهجمات؟

أطلقت مايكروسوفت اسم Storm-0408 على هذا النشاط الخبيث، وهو تصنيف يضم مجموعات تهديد إلكتروني متخصصة في نشر برمجيات التحكم عن بُعد وبرمجيات سرقة المعلومات باستخدام التصيد الاحتيالي، تحسين نتائج محركات البحث (SEO)، والإعلانات الضارة (Malvertising).

وأشارت مايكروسوفت إلى أن هذه الحملة أثّرت على مجموعة واسعة من الشركات والصناعات، سواء على مستوى المستخدمين الأفراد أو المؤسسات، مما يعكس عشوائية واستهدافًا واسع النطاق للهجوم.

توصيات الحماية

نشرت مايكروسوفت تقريرًا مفصلاً حول هذه الحملة، موضحة فيها مراحل الهجوم والبرمجيات الضارة المستخدمة، كما أوصت المستخدمين والمؤسسات بـ:

• تجنب تحميل أي برامج أو ملفات من GitHub، Dropbox، أو Discord ما لم تكن من مصادر موثوقة.
• تحديث برامج الحماية الأمنية بانتظام لمكافحة البرمجيات الخبيثة.
• الحذر من الإعلانات المشبوهة ومواقع البث غير القانونية التي قد تحتوي على روابط خبيثة.

تُظهر هذه الحملة مدى تعقيد وانتشار الهجمات الإلكترونية الحديثة، ما يؤكد الحاجة إلى تعزيز إجراءات الأمن السيبراني باستمرار لحماية الأجهزة والبيانات الشخصية.

مقالات ذات صلة:

• تحذير أمني: حملة GitVenom تستهدف اللاعبين ومستثمري العملات الرقمية عبر GitHub!
• فايرفوكس قادم إلى متجر ويندوز
• تعرف على Nubia Z70 Ultra: هاتف فائق الأداء بإطلاق عالمي قريب!
• تسريبات تشير إلى أن جميع طرازات iPhone 16 ستأتي بشريحة A18 ومواصفات محسنة
• جوجل تحظر 2.3 مليون تطبيق ضار من متجر Play في 2024