حملة تصيد متطورة عبر مايكروسوفت تيمز تنشر برمجية خلفية A0Backdoor باستخدام أداة المساعدة السريعة
كشف باحثون أمنيون في شركة بلو فويانت عن حملة تصيد إلكتروني بالغة التعقيد تستهدف موظفي المؤسسات المالية والرعاية الصحية عبر استغلال قناة التواصل الموثوقة في مايكروسوفت تيمز. حيث يبدأ المهاجمون الاتصال عبر المنصة بانتحال شخصية موظفي الدعم الفني الداخلي، وذلك بعد مرحلة تحضيرية تقوم على إغراق صندوق بريد الضحية بالرسائل غير المرغوب فيها لخلق ذريعة للاتصال.
يتم بعدها تقديم المساعدة للموظف المستهدف فيما يتعلق بـ"الرسائل المزعجة" لبناء علاقة ثقة، تمهيداً لطلب بدء جلسة دعم عن بعد باستخدام الأداة المدمجة في ويندوز المسماة "كويك أسيسست". مما يمنح المهاجمين وصولاً كاملاً عن بعد إلى جهاز الضحية، لبدء مرحلة التنفيذ الفعلي للهجوم.
يرتكز الهجوم على نشر عائلة برمجيات خبيثة جديدة أطلق عليها الباحثون اسم "A0Backدار". حيث يقوم المهاجمون بعد السيطرة عن بعد بنشر مجموعة أدوات ضارة تتضمن حزم مثبتات MSI موقعة رقمياً، مستضافة على حساب تخزين سحابي شخصي في مايكروسوفت لتبدو مشروعة.
تتخفى هذه الملفات الضارة بشكل ماكر على أنها مكونات شرعية مثل أجزاء من تطبيق مايكروسوفت تيمز أو خدمة "كرس ديفايس سيرفيس" المشروعة الخاصة بتطبيق ربط الهاتف. وتمنح هذه التقنية المهاجمين ميزة التخفي الأولي لتجنب اكتشاف المستخدمين أو البرامج الأمنية.
تستخدم البرمجية الخبيثة تقنيات تنفيذ متقدمة للتجنب والاستمرارية، أبرزها تحميل مكتبة جانبية ضارة باسم `hostfxr.dll` تحتوي على حمولة مشفرة، وذلك عبر استغلال ملفات ثنائية مشروعة وموقعة من مايكروسوفت. ثم تقوم بفك تشفير هذه الحمولة إلى شل كود قابل للتنفيذ داخل ذاكرة العملية المشروعة.
كما لاحظ الباحثون أن المكتبة الضارة تستخدم وظيفة `CreateThread` بشكل مكثف، وهي تقنية لا تسهل العمليات الخبيثة فحسب، بل تعمل أيضاً كإجراء مضاد للتحليل، حيث يمكن أن يتسبب إنشاء الخيوط المفرط في تعطل أدوات التصحيح وتعقيد جهود الهندسة العكسية. مما يجعل هذه الحملة نموذجاً خطيراً لدمج الهندسة الاجتماعية مع التهرب التقني المتقدم.
