عصابة إلكترونية تتنكر كفريق دعم فني وتستغل مايكروسوفت تيمز لسرقة بياناتك

رسالة سريعة على Microsoft Teams من شخص يدّعي أنه من قسم الدعم الفني، يعرض مساعدتك لحل مشكلة في بريدك الإلكتروني. في زحمة العمل وضغط الرسائل، قد يبدو الأمر طبيعياً بل مطمئناً. هذا بالضبط المدخل الذي استغلته مجموعة تهديدات جديدة لتنفيذ سلسلة هجمات معقدة تجمع بين الهندسة الاجتماعية وبرمجيات خبيثة مصممة بعناية.

بحسب تقرير صادر عن فريق استخبارات التهديدات في Google، بدأت الحملة بإغراق المؤسسات بسيل من الرسائل الإلكترونية المزعجة. الهدف لم يكن الاختراق المباشر، بل خلق فوضى رقمية تدفع الموظفين للبحث عن دعم سريع. هنا يظهر “فني الدعم” عبر Microsoft Teams، عارضاً تثبيت أداة لإصلاح صندوق البريد.

الضحية يُوجَّه إلى صفحة انتحال تحمل اسم “Mailbox Repair Utility”، مع زر لفحص السلامة. عند محاولة تسجيل الدخول، تُستخدم حيلة نفسية دقيقة: يتم رفض كلمة المرور أول مرتين، ما يعزز شعور المستخدم بأن النظام حقيقي ويتحقق من البيانات، وفي الوقت نفسه يمنح المهاجمين تأكيداً مزدوجاً لصحة بيانات الاعتماد.

القصة لا تنتهي عند سرقة بيانات الدخول. الحملة تعتمد سلسلة أدوات مخصصة تحمل أسماء SnowBelt وSnowGlaze وSnowBasin، تعمل معاً كنظام تشغيلي متكامل للاختراق.

SnowBelt يأتي على شكل إضافة متصفح لمتصفح Chromium، متنكرة بأسماء مثل “System Heartbeat”، لتأمين موطئ قدم دائم عبر نظام تسجيل الإضافات. بعدها يتولى SnowGlaze إنشاء نفق اتصال عبر WebSocket بين شبكة الضحية والبنية التحتية للمهاجمين، مع تغليف البيانات داخل JSON وترميزها بـ Base64 لإخفاء النشاط ضمن حركة مرور تبدو اعتيادية.

أما SnowBasin فيعمل كخادم محلي يوفر تحكماً تفاعلياً بالجهاز المخترق، قادراً على تنفيذ أوامر مثل استعراض المستخدمين، التقاط لقطات شاشة، وتجهيز البيانات للتهريب عبر نفس القناة المشفرة.

التحول نحو منصات التعاون مثل Teams ليس صدفة. هذه الأدوات أصبحت امتداداً لمكان العمل الرقمي، وتحمل قدراً عالياً من الثقة المؤسسية. رسالة على البريد قد تثير الشك، لكن محادثة مباشرة من حساب يبدو داخلياً تخفف الحواجز النفسية.

مايكروسوفت كانت قد حذّرت بالفعل من إساءة استخدام الاتصالات بين المستأجرين في Teams لهذا الغرض، لكن اللافت أن Google تشير إلى أن هذه الحملة لا ترتبط بمجموعات معروفة مثل Lapsus$ أو ShinyHunters، ما يعني ظهور لاعب جديد بقدرات تنظيمية عالية.

اللافت في هذه العملية هو طابعها “التشغيلي”. هناك تسلسل واضح: إرباك، تواصل مباشر، صفحة انتحال، تثبيت أداة، إنشاء قناة قيادة وتحكم، ثم تشغيل باب خلفي دائم. نحن أمام playbook متكامل للهجوم البشري المدعوم تقنياً.

هذا يعكس اتجاهاً متنامياً في مشهد الأمن السيبراني: لا يكفي امتلاك برمجية خبيثة متقدمة، بل الأهم هو فهم السلوك البشري داخل بيئة العمل الرقمية. المهاجم لم يخترق جدار الحماية أولاً؛ بل اخترق الإيقاع اليومي للموظف.

التقنيات المستخدمة مثل WebSocket tunneling، الإضافات غير الرسمية للمتصفح، واستضافة البنية التحتية على خدمات سحابية معروفة كأمازون وHeroku، تجعل التمييز بين النشاط الطبيعي والخبيث أكثر صعوبة. التشفير هنا ليس لحماية المستخدم، بل لحماية الهجوم نفسه من الرصد.

ما نشهده ليس مجرد حملة تصيّد جديدة، بل إعادة صياغة لفكرة “الدعم الفني” كسلاح. ومع ازدياد اعتماد المؤسسات على أدوات التعاون السحابية والعمل الهجين، تصبح الحدود بين التواصل الحقيقي والمخادع أكثر هشاشة. في النهاية، قد لا يبدأ الاختراق بثغرة برمجية، بل برسالة مهذبة تقول: دعني أساعدك.