جوجل توقف برنامجًا خبيثًا سرق البيانات عبر تقويمها
كشفت جوجل مؤخرًا عن تفاصيل مثيرة بشأن هجوم سيبراني استخدم تقويم جوجل كوسيلة لسرقة المعلومات، يتعلق الأمر بمجموعة من المتسللين تُعرف باسم APT41، التي يُعتقد أنها مرتبطة بحكومة الصين، الهجوم الذي تم اكتشافه في أكتوبر 2024 انطلق من موقع حكومي مخترق، والذي بدوره استخدم كمصدر لبرمجيات خبيثة تهدد أمن بيانات المستخدمين.
في إطار هذا الهجوم، استخدم المخترقون أسلوب التصيد الاحتيالي الموجه الذي يستهدف أفرادًا محددين، حيث أرسلت رسائل إلكترونية تحتوي على روابط إلى ملفات مضغوطة مستضافة على الموقع المخترق، وعند فتح هذه الملفات، يظهر ملف اختصار مُخادع يُمهد الطريق لتحميل البرمجيات الخبيثة.
عملت البرمجيات الخبيثة على ثلاث مراحل متتالية باستخدام تقنيات متقدمة لتفادي الاكتشاف، في المرحلة الأولى، يتم فك تشفير ملف DLL يُعرف باسم PLUSDROP، بينما تُعطي المرحلة الثانية للمهاجم القدرة على تشغيل عمليات ويندوز شرعية تعزز من مظهر البرمجيات الخبيثة، أما المرحلة الأخيرة، فتكشف عن TOUGHPROGRESS، الحاملة للبيانات السرية، التي تتواصل مع المهاجمين عبر تقويم جوجل.
استجابة لهذا التهديد، قام فريق جوجل لاستخبارات التهديدات (GTIG) باتخاذ خطوات فورية لتعطيل الحسابات المستخدمة من قبل المهاجمين، وإغلاق مشاريع جوجل وورك سبيس المرتبطة، كما تم تحديث أنظمة اكتشاف البرمجيات الضارة وتطبيق إجراءات أمنية متطورة لحماية المستخدمين.
أخيرًا، قامت جوجل بإبلاغ المؤسسات المعنية عن هذا الهجوم، مع توفير عينات من حركة المرور الخاصة بالبرمجيات الخبيثة للمساعدة في كشف والتحقيق في النشاطات الضارة.
