جوجل تُغلق برنامج خبيث استغل تقويمها لسرقة البيانات: تعرف على التفاصيل الكاملة

بواسطةخبرناآخر تحديث2 يونيو 2025 - 3:05ص

جوجل تغلق برنامجًا خبيثًا استغل تقويم جوجل لسرقة البيانات.. التفاصيل الكاملة

كشفت مجموعة جوجل لاستخبارات التهديدات (GTIG) عن استخدام تقويم جوجل كوسيلة اتصال من قبل مجموعة من القراصنة لاستهداف معلومات حساسة للأفراد. في أكتوبر 2024، اكتشف قسم الأمن السيبراني في الشركة موقعًا حكوميًا مُخترقًا، الذي كان يُستخدم لتوزيع برمجيات خبيثة. بمجرد أن يصاب الجهاز، يعمل البرنامج على إنشاء منفذ خلفي باستخدام تقويم جوجل، مما يمنح المتسلل القدرة على استخراج البيانات. وقد اتخذت مجموعة جوجل خطوات فورية لتعطيل حسابات التقويم والأنظمة الأخرى التي استغلها القراصنة.

طرق انتشار البرمجيات الضارة

شرح فريق GTIG كيفية انتشار البرمجيات الخبيثة وطريقة عملها، بالإضافة إلى التدابير المتخذة من قبل جوجل لحماية المستخدمين ومنتجاتها. يُعتقد أن المخترقين الذين يرتبط بهم هذا الهجوم هم مجموعة APT41، المعروفة أيضًا بـ HOODOO، التي يُعتقد أنها مرتبطة بالحكومة الصينية. وأفاد أصل التحقيق أن APT41 استخدمت أساليب التصيد الاحتيالي الموجه لإيصال البرمجيات الضارة إلى أهدافها، حيث يتم تخصيص رسائل البريد الإلكتروني لأفراد معينين.

التصيد الاحتيالي المستهدف

احتوت هذه الرسائل الإلكترونية على روابط لمواقع تحتوي على ملفات مُصنّفة كطبيعية، وعند فتح الملف المُعطى، يظهر شكل مُخادع يبدو كملف PDF، يحتوي على مجموعة من الصور. إلا أن الصور في الواقع هي وسيلة لإيصال برنامج خبيث. فتحتوي الصور الوهمية على حمولة مشفرة وملف DL. عند الضغط على الملف الضار، يتم تنشيط كلا الخزانات، حيث يتم استبداله تلقائيًا بملف مزيف زائف يظهر للمستخدم ويخفي محاولة الاختراق.

عقب إصابة الجهاز، تعمل البرمجيات الخبيثة على تنفيذ ثلاث مراحل مختلفة من المهام بشكل متسلسل، مستخدمةً تقنيات متقدمة لتفادي الكشف. المرحلة الأولى تتضمن فك تشفير ملف DLL وتشغيله، بينما تشتمل المرحلة الثانية على تشغيل عملية Windows مشروعة، مما يمنح المهاجم القدرة على تنفيذ البرمجيات الخبيثة بصورة غير مرئية.

الحمولة النهائية تعمل على تنفيذ مهام خبيثة وتواصل مع المهاجم عبر تقويم جوجل، مما يجعله وسيلة للتواصل بين الطرفين. بعد إرسال الأوامرencrypted، يقوم البرنامج بتنفيذها وخلق أحداث جديدة تتضمن النتائج المشفرة.

في إطار جهود جوجل لوقف هذه الحملة، قام فريق GTIG بتطوير أساليب الكشف المخصصة لتحديد وإزالة حسابات تقويم جوجل المرتبطة بالمهاجمين، بالإضافة إلى تعطيل المشاريع المستخدمة في عملية الاختراق. كما أكدت جوجل على تحديث أنظمتها للكشف عن البرمجيات الضارة وتعزيز تحذير المستخدمين من الروابط الخبيثة. وقد تم إخطار المؤسسات المتضررة بالمعلومات الضرورية لدعم جهود كشف التهديدات والتعامل معها.