بدأت عصابة إلكترونية تُعرف باسم Rhysida حملة احتيالية ذكية تستغل الإعلانات المدفوعة على محركات البحث، وخاصة Bing، لاستهداف المستخدمين الذين يبحثون عن تطبيقات شائعة مثل Microsoft Teams. ووفقًا لتقارير أمنية حديثة، تظهر الإعلانات المزيفة في مقدمة نتائج البحث وكأنها روابط رسمية من موقع مايكروسوفت، لكنها في الحقيقة تقود المستخدمين إلى مواقع وهمية تنشر برمجيات ضارة.
برمجيات خبيثة تتخفى وراء واجهات موثوقة
عند النقر على الإعلان، يتم توجيه المستخدم إلى موقع احتيالي يُشبه الموقع الأصلي من حيث الاسم والتصميم، فيما يُعرف بأسلوب “Typosquatting” — أي تسجيل نطاقات بأسماء مشابهة للمواقع الحقيقية مع اختلاف بسيط في الحروف.
يقوم المستخدم بعدها بتحميل ما يظنه ملف تثبيت «مايكروسوفت تيمز»، لكنه في الواقع برنامج خبيث يُعرف باسم OysterLoader، والذي يُتيح للقراصنة التحكم في النظام تمهيدًا لتشفير الملفات وطلب فدية مالية مقابل فكها.
استغلال شهادات رقمية مسروقة لخداع أنظمة الحماية
تكمن خطورة الحملة في اعتمادها على شهادات رقمية (Digital Certificates) مسروقة أو مزيفة، تُستخدم عادة لإثبات موثوقية البرامج أمام نظام التشغيل. هذه الخطوة تجعل البرنامج الضار يبدو “آمنًا” في نظر نظام ويندوز، بل ويتجاوز في كثير من الأحيان برامج مكافحة الفيروسات دون إنذار.
ووفقًا لشركة أمنية متخصصة، لم تتمكن معظم أدوات الحماية من اكتشاف البرنامج في المراحل الأولى، مما أتاح للعصابة فترة زمنية كافية لاختراق الأجهزة.
مايكروسوفت تواجه حربًا إلكترونية متصاعدة
تخوض مايكروسوفت حاليًا معركة رقمية ضد هذه العصابة، بعد أن ألغت أكثر من 200 شهادة رقمية مزيفة مرتبطة بالحملة، إلا أن المهاجمين يواصلون تطوير أساليبهم وتغيير أدواتهم بسرعة للاحتيال على الأنظمة الأمنية.
وتشير التقارير إلى أن مجموعة Rhysida مرتبطة بأكثر من 200 عملية تسريب بيانات عالمية، وتعمل ضمن منظومة تُعرف باسم “Ransomware-as-a-Service”، أي تقديم برامج الفدية كخدمة للمجرمين الآخرين.
هجمات تستهدف الأفراد والمؤسسات الصغيرة
لا تقتصر الهجمات على الشركات الكبرى، بل تستهدف الأفراد والمدارس والمؤسسات الصغيرة، مستغلة بحثهم عن برامج شهيرة لتنفيذ عمليات التحميل. ويكفي الضغط على رابط واحد مزيف لتشفير جميع الملفات على الجهاز — بما في ذلك الصور والمستندات والبيانات الشخصية — واحتجازها مقابل فدية مالية.
كيف تحمي نفسك؟
يوصي الخبراء بعدة خطوات أساسية للحماية:
-
تجنّب تحميل البرامج من الإعلانات على محركات البحث.
-
الدخول مباشرة إلى الموقع الرسمي (مثل microsoft.com) عبر كتابة العنوان يدويًا.
-
استخدام مانع إعلانات (Ad Blocker) لتقليل فرص ظهور الإعلانات الخبيثة.
من ناحية أخرى، تواصل شركات الأمن السيبراني مراقبة الحملة عن قرب، فيما تعمل مايكروسوفت على تعزيز أنظمة التحقق الرقمية للحد من انتشار مثل هذه الهجمات المتطورة.
