الأمن السيبراني
#BubbleAI
#أمن_سيبراني
احتيال Bubble: منصة AI تُستغل لسرقة بيانات Microsoft
كشف تقرير حديث عن استغلال منصة Bubble، وهي منصة لبناء التطبيقات بدون تعليمات برمجية (no-code) ومدعومة بالذكاء الاصطناعي، في حملات تصيد احتيالي تستهدف بيانات حسابات Microsoft. ينجح المهاجمون في التحايل على أنظمة الكشف عن التصيد الاحتيالي من خلال استضافة تطبيقات ويب ضارة على البنية التحتية الشرعية لـ Bubble.
تكمن خطورة هذا الأسلوب في أن تطبيقات الويب الضارة تُستضاف على نطاقات موثوقة (مثل *.bubble.io)، مما يجعل حلول أمان البريد الإلكتروني لا تصنف الروابط كتهديد محتمل. هذا يتيح للمستخدمين الوصول إلى الصفحات المزيفة دون إثارة الشكوك.
يوضح باحثو الأمن في كاسبرسكي أن المهاجمين يستخدمون هذه الطريقة الجديدة لإعادة توجيه المستخدمين إلى صفحة التصيد الاحتيالي الفعلية. هذه الصفحات غالبًا ما تحاكي بوابات تسجيل الدخول الخاصة بـ Microsoft، وأحيانًا تكون محمية بواسطة فحص Cloudflare.
تُسرق أي بيانات اعتماد يتم إدخالها في هذه الصفحات المزيفة، مما يتيح للمهاجمين الوصول إلى البريد الإلكتروني والتقويم والبيانات الحساسة الأخرى المرتبطة بحسابات Microsoft 365.
تعتمد منصة Bubble على وصف المستخدم للتطبيق المطلوب، ثم تقوم المنصة تلقائيًا بتوليد المنطق الخلفي والواجهة الأمامية. تستغل الجهات الخبيثة هذه الميزة لإنشاء تطبيقات Bubble تتكون من حزم JavaScript ضخمة ومعقدة وهياكل Shadow DOM، والتي لا تُصنف كبرامج نصية لإعادة التوجيه أو ضارة بواسطة أدوات التحليل الثابت والآلي.
كما تظهر الصورة، الصفحة المزيفة التي تحاكي تسجيل الدخول إلى Microsoft تُظهر مدى دقة المحاكاة التي يستخدمها المهاجمون لخداع الضحايا. يضيف باحثو كاسبرسكي: "إن الكود الذي تولده هذه المنصة الخالية من التعليمات البرمجية هو مزيج هائل من JavaScript وهياكل Shadow DOM المعزولة. حتى بالنسبة للخبير، من الصعب فهم ما يحدث للوهلة الأولى؛ عليك حقًا التعمق فيه لفهم كيفية عمله وما هو الغرض منه."
يتابع الباحثون: "من المرجح أن تتعثر خوارزميات تحليل كود الويب الآلية بشكل أكبر، وغالبًا ما تصل إلى نتيجة مفادها أن هذا مجرد موقع وظيفي ومفيد."
كما يتضح من الصورة المرفقة، جزء من كود تطبيق Bubble يوضح التعقيد الهيكلي الذي يستغله المهاجمون. يحذر الباحثون من أن تكتيك استغلال منشئي التطبيقات المدعومين بالذكاء الاصطناعي للتهرب في حملات التصيد الاحتيالي من المرجح جدًا أن تعتمده منصات التصيد الاحتيالي كخدمة (PhaaS) ويُدمج في مجموعات التصيد الاحتيالي التي يستخدمها مجرمو الإنترنت من الفئات الأدنى.
توفر هذه المنصات بالفعل سرقة ملفات تعريف الارتباط للجلسة، وطبقات تجاوز المصادقة الثنائية (AiTM) التي تتجاوز المصادقة متعددة العوامل (2FA)، والتحكم الجغرافي، وحيل مكافحة التحليل، ومحتوى البريد الإلكتروني المُنشأ بواسطة الذكاء الاصطناعي. لذا، فإن استغلال المنصات الشرعية سيزيد فقط من سرية هذه الهجمات.
تواصل موقع BleepingComputer مع Bubble للحصول على تعليق حول نتائج كاسبرسكي وأي خطط لتعزيز حماية مكافحة الانتهاكات، ولكن لم يتم تلقي رد حتى وقت نشر المقال. ندعو القراء إلى توخي الحذر الشديد عند التعامل مع أي رسائل بريد إلكتروني تطلب بيانات اعتماد تسجيل الدخول والتحقق دائمًا من شرعية الروابط قبل النقر عليها.
الأسئلة الشائعة
Bubble هي منصة لبناء التطبيقات بدون تعليمات برمجية ومدعومة بالذكاء الاصطناعي. تُستغل من قبل المهاجمين لاستضافة تطبيقات ويب ضارة تحاكي صفحات تسجيل دخول Microsoft لسرقة بيانات الاعتماد، متجاوزة بذلك آليات الكشف التقليدية.
يصعب كشفها لأنها تُستضاف على نطاقات Bubble الشرعية، وتستخدم هياكل JavaScript معقدة وShadow DOM، مما يجعلها تبدو كأنها مواقع وظيفية عادية لأدوات التحليل الآلي.
تتيح هذه الهجمات للمهاجمين سرقة بيانات اعتماد حسابات Microsoft 365، مما يمكنهم من الوصول إلى البريد الإلكتروني والتقويم والبيانات الحساسة الأخرى. كما يُتوقع دمج هذا التكتيك في منصات التصيد الاحتيالي كخدمة (PhaaS) لزيادة فعاليته.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!