الأحد 05 يوليو 2026 16:46:22 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

أمن السحابة وSaaS والهوية

موثّق، ممول، وما يزال خطيراً: إشارات الثقة التي يتعلم مجرمو الإنترنت اختطافها

تُظهر تقنيتان منفصلتان كيف يعتمد المهاجمون على ثقة المستخدم - واحدة عبر إغراء مخصص لـ macOS، والأخرى عبر إساءة استخدام رموز Microsoft 365 المستندة إلى المتصفح.

يمكن لعلامة التحقق، ووسم المحتوى الممول، وصفحة تسجيل دخول مألوفة أن تجعل شيئاً ما يبدو آمناً للوهلة الأولى. وهذا بالضبط ما يجعل هذه التفاصيل مفيدة للمهاجمين. فقد ارتبطت حملة بإعلان X موثّق بعملية تستهدف macOS استخدمت إغراءً باسم DynamicLake، بينما تركز تقنية منفصلة تُسمى ConsentFix على رموز جلسة Microsoft 365 بدلاً من البرمجيات الخبيثة التقليدية.

حقائق سريعة

  • ارتبط إعلان ممول موثّق على X بحملة تستهدف macOS تتضمن إغراءً باسم DynamicLake.
  • ارتبط نشاط macOS بنمط تنفيذ عبر المستخدم على طريقة ClickFix.
  • تُوصف ConsentFix بأنها تقنية اختطاف قائمة على المتصفح يمكنها استخراج رموز جلسة Microsoft 365.
  • الجانب المتعلق بـ Microsoft 365 لا يتطلب برمجيات خبيثة تقليدية بالمعنى المعتاد.
  • لم يتم بعد تحديد النطاق الكامل لأي مستخدمين أو مؤسسات متأثرة على الملأ.

لماذا يهم مسار الهجوم

القاسم المشترك هنا ليس استغلالاً لنواة النظام ولا ثغرة يوم صفر لامعة. إنه إساءة استخدام الثقة. على جانب macOS، يبدو أن الإغراء يعتمد على سلسلة تنفيذ يقودها المستخدم مرتبطة بـ ClickFix، وهو نمط هندسة اجتماعية يُدفع فيه الضحية إلى تشغيل شيء بنفسه. وقد أظهرت أبحاث مرتبطة بـ macOS أن هذه الإغراءات يمكن أن تنتقل بعيداً عن Terminal إلى Script Editor، ما يقلل الشك لأن الفعل لا يزال يبدو كأنه خطوة استكشاف أعطال عادية.

تكمن أهمية اسم DynamicLake في أن العلامة التجارية الحقيقية للمنتج يمكن أن تجعل الإغراء يبدو روتينياً. وفي الوقت نفسه، لا تؤكد التفاصيل المتاحة بشكل كامل ما إذا كان DynamicLake هو الحمولة، أو ملف تنزيل مشابه في الشكل، أو مجرد اسم استُخدم لجذب الانتباه. هذا الغموض مهم: فالعبرة الأمنية هنا تتعلق بطريقة التسليم، وليس فقط بالاسم المرفق بها.

تمثل ConsentFix نسخة الهوية السحابية من الفكرة نفسها. فبدلاً من إسقاط ملف، تركز التقنية على تدفقات التفويض الأصلية في المتصفح وعلى مواد الرموز المرتبطة بـ Microsoft 365. وتوضح إرشادات Microsoft نفسها بشأن إساءة استخدام الموافقة حجم المخاطر الأوسع: إذا تمكن المهاجم من الوصول إلى مواد تفويض صالحة، فقد لا يؤدي تغيير كلمة المرور وحده إلى إزالة ذلك الوصول. والخطر لا يقتصر على تسجيل الدخول إلى الحساب، بل يشمل أيضاً الاستمرارية التي توفرها الجلسات المعتمدة على الرموز والأذونات المفوضة.

حتى وقت كتابة هذا التقرير، لم تُثبت المعلومات العامة بشكل كامل السبب الجذري التقني، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق. وما هو واضح أن الحالتين تدفعان بالاختراق إلى تدفقات العمل العادية للمستخدمين، حيث يمكن للإعلانات، وشاشات الموافقة، ومطالبات المتصفح أن تقوم بعمل المهاجم نيابة عنه.

ما الذي ينبغي للمدافعين استخلاصه

بالنسبة لفرق نقاط النهاية، فإن الدرس هو التعامل مع المواضع الممولة وصفحات التنزيل المقلدة على أنها غير موثوقة حتى يتم التحقق منها بشكل مستقل. وبالنسبة لفرق الهوية، فإن الأولوية هي مراجعة موافقات التطبيقات، والأذونات المفوضة، والشذوذات في تسجيل الدخول داخل Microsoft 365 وEntra ID. إن سياسة قوية لكلمات المرور مفيدة، لكنها لا تكفي عندما يستهدف المهاجم المتصفح، أو تدفق الموافقة، أو الرمز نفسه.

الخلاصة

القصة الأكبر ليست أن منصة واحدة أو شبكة إعلانات واحدة قد تعرضت للاختراق. بل إن الجريمة الإلكترونية تواصل التحرك نحو الأماكن التي يثق بها الناس بالفعل. وفي مثل هذا البيئة، لا تكون وسيلة التحكم الحقيقية شارة أو صفحة تسجيل دخول مألوفة - بل التحقق، والمراقبة، والرفض بأن تتحول الراحة إلى سطح هجوم.

TECHCROOK

مفتاح أمان عتادي: يضيف مفتاح أمان صغير عبر USB أو NFC حماية قوية بعامل ثانٍ للبريد الإلكتروني، والهوية السحابية، وتسجيلات دخول المسؤولين. وهو خيار عملي عندما يعتمد المهاجمون على التصيد، أو مطالبات الموافقة المزيفة، أو إساءة استخدام الجلسات للوصول إلى الحسابات. وتستخدمه العديد من الفرق مع مديري كلمات المرور وسياسات الوصول المشروط.

Scheda Techcrook: مفتاح أمان عتادي

WIKICROOK

  • ClickFix: نمط هندسة اجتماعية يدفع الضحايا إلى تشغيل الشيفرة أو الأوامر بأنفسهم.
  • تصيد الموافقة: تقنية تستغل مطالبات موافقة التطبيقات المشروعة للحصول على الوصول عبر الأذونات المعتمدة.
  • رمز الجلسة: اعتماد مؤقت يمكن أن يبقي المستخدم مسجلاً الدخول دون إعادة إدخال كلمة المرور.
  • OAuth: نظام تفويض يتيح للتطبيقات طلب وصول محدود إلى الحسابات والبيانات.
  • الأذونات المفوضة: حقوق وصول تُمنح لتطبيق ليعمل نيابة عن المستخدم داخل خدمة سحابية.