حملة خبيثة تستغل نطاق Google DoubleClick لنشر طروادة DesckVB RAT

مقدمة تحليلية

كشف باحثو الأمن السيبراني في شركة Huntress عن حملة خبيثة متطورة تعتمد على آلية "البريد العشوائي الضار" (Malspam)، حيث تستغل البنية التحتية الإعلانية لشركة جوجل لتخطي المرشحات الأمنية وتوصيل برمجية خبيثة للتحكم عن بُعد تُعرف باسم DesckVB RAT. هذه الحملة تسلط الضوء على تزايد اعتماد المهاجمين على ما يُعرف باسم "تكتيك النطاق الموثوق" (Living off Trusted Domains)، حيث يتم تمرير حركة المرور الضارة عبر نطاق فرعي شرعي تابع لشركة Google DoubleClick قبل توجيه الضحية إلى الخوادم التي يسيطر عليها المهاجمون.

وفقاً للتقرير التقني الذي أعدته الباحثتان Anna Pham وAdam Mooney، فإن هذا الأسلوب يحيد دفاعات البريد الإلكتروني التقليدية (Secure Email Gateways) التي تعتمد بشكل كبير على سمعة النطاقات لتصنيف الروابط الضارة. نظراً لأن النطاق DoubleClick ينتمي إلى جوجل ويُستخدم على نطاق واسع في تعقب الحملات الإعلانية، فإن أدوات الفحص التلقائي تمنحه ثقة كاملة وتسمح بمرور رسائل Phishing دون حظر أو فحص دقيق للروابط الواردة فيها.

تكمن خطورة هذه الحملة أيضاً في استخدام "مجموعة أدوات بريد ضار" (Malspam Kit) قادرة على تخصيص صفحة الهبوط بشكل ديناميكي وفي الوقت الفعلي. تعتمد هذه الأداة على فك تشفير البريد الإلكتروني الخاص بالضحية لبناء واجهة مستخدم تحاكي الهوية البصرية للشركة المستهدفة وموقعها الجغرافي. هذا الابتكار يلغي الحاجة إلى إنشاء صفحات هبوط مخصصة يدوياً لكل هدف، مما يمنح المهاجمين قدرة غير مسبوقة على توسيع نطاق الهجمات وخفض التكاليف التشغيلية بشكل كبير.

التحليل التقني

تبدأ سلسلة الإصابة المعقدة عندما يتلقى المستخدم المستهدف رسالة بريد إلكتروني احتيالية تحتوي على ملف HTML كمرفق ضار. بمجرد فتح هذا الملف محلياً داخل المتصفح، يتم تفعيل الآليات التقنية التالية بالتتابع:

• إعادة التوجيه الوصفي (Meta-Refresh Redirect): يقوم ملف HTML بإجبار المتصفح على الانتقال الفوري إلى رابط تتبع النقرات التابع لمدير حملات Google DoubleClick Campaign Manager.
• تفكيك التشفير والتوجيه الديناميكي: يتم تحويل المستخدم من نطاق جوجل إلى خادم توجيه وسيط يقرأ البريد الإلكتروني للمستهدف المشفر بصيغة Base64، مما يسمح للخادم ببناء صفحة هبوط مخصصة تعرض زراً زائفاً بعنوان 'Download PDF'.
• أرشيف ZIP والملف التنفيذي: عند النقر على زر التحميل، يستجيب الخادم بإرسال أرشيف ZIP مضغوط يحتوي على برنامج نصي يعتمد على لغة JavaScript مهمته تشغيل ملف PowerShell خبيث بصمت في الخلفية.
• تحميل المحمل الفصلي (.NET Loader): يقوم نص PowerShell بالاتصال بخادم خارجي لتحميل ملف stager مطور بلغة .NET، والذي يقوم قبل أي إجراء بفحص البيئة للتأكد من عدم وجوده في بيئة تحليلية أو افتراضية.
• التفريغ العملياتي (Process Hollowing): بمجرد التأكد من أمان البيئة للمهاجم، يقوم المحمل بتعطيل أدوات الحماية المحلية، ثم يقوم بحقن الحمولة النهائية لبرمجية DesckVB RAT داخل عمليات نظام تشغيل Windows الموقعة رقمياً من مايكروسوفت لتجنب رصدها بواسطة أدوات كشف السلوك (EDR).

بعد استقرار البرمجية داخل الذاكرة، تبدأ برمجية DesckVB RAT، النشطة منذ فبراير 2026، في تنفيذ مهامها التدميرية. تتصل البرمجية بخادم القيادة والسيطرة (C2) عبر مقابس بروتوكول TCP الخام (Raw TCP Sockets). ومن ثم تبدأ في اتخاذ تدابير صارمة لضمان البقاء؛ حيث تقوم بإضافة استثناءات داخل برنامج الحماية Microsoft Defender، وتقوم بعملية ترقيع (Patching) لواجهة مسح البرمجيات الضارة (AMSI) وأداة تتبع الأحداث لنظام ويندوز (ETW) على مستوى واجهات البرمجة الأصلية (Native APIs). يهدف هذا الإجراء المعقد إلى حجب تلمترية نظام التشغيل وإصابة أدوات الرصد بالعمى التام قبل تثبيت وجودها بشكل دائم في النظام عبر سجلات Run وRunOnce ومجلد بدء التشغيل (Startup).

السياق وتأثير السوق

تعكس هذه الحملة تحولاً جذرياً في فلسفة تصميم الهجمات السيبرانية لعام 2026. لم يعد المهاجمون يكتفون بالبنية التحتية الرخيصة أو النطاقات حديثة التسجيل التي يسهل على خوارزميات الذكاء الاصطناعي كشفها؛ بل يتجهون بشكل متزايد لاختطاف سمعة عمالقة التقنية مثل جوجل، ومايكروسوفت، وأمازون. إساءة استخدام خدمات التتبع والإعلان مثل DoubleClick تضع الشركات الأمنية في مأزق، حيث لا يمكنها حظر هذه النطاقات بالكامل نظراً لأهميتها في الأعمال التجارية اليومية.

من منظور السوق، فإن ظهور عائلات برمجيات ضارة متخصصة مثل DesckVB RAT المكتوبة بـ .NET يشير إلى عودة قوية للأدوات الخفيفة القابلة للتخصيص التي يمكن دمجها مع برمجيات التحميل لتقديم "البرمجيات الخبيثة كخدمة" (Malware-as-a-Service). هذا يتيح للمهاجمين الأقل خبرة تقنية شراء هذه الحزم وتنفيذ هجمات بالغة التعقيد ضد مؤسسات مالية وحكومية دون الحاجة لتطوير كود معقد من الصفر.

رؤية Glitch4Techs

يرى فريق التحليل في Glitch4Techs أن هذا التهديد يثبت فشل المقاربات الأمنية التقليدية التي تعتمد حصرياً على سمعة عناوين الروابط (URL Reputation). إن منح ثقة مسبقة لنطاقات مثل DoubleClick لمجرد أنها مملوكة لشركة جوجل يمثل ثغرة هيكلية في مفهوم الجدران النارية الحديثة. يجب على فرق الأمن السيبراني الانتقال فوراً إلى نموذج "عدم الثقة المطلق" (Zero Trust) حتى على مستوى نطاقات الويب الكبرى الموثوقة عالمياً.

كخطوة دفاعية فورية، نوصي المؤسسات بتبني استراتيجيات الدفاع العميق (Defense in Depth). إن إعداد سياسة المجموعة (GPO) في بيئة Active Directory لفرض فتح ملفات السكريبت مثل .js و.hta و.vbs باستخدام برنامج المفكرة (Notepad) افتراضياً بدلاً من تشغيلها عبر محرك النظام، سيعطل الهجوم في مرحلته الأولى ويمنع المهاجم من تنزيل المراحل التالية. علاوة على ذلك، من الضروري تفعيل معايير التحقق من البريد الإلكتروني مثل DMARC وDKIM وSPF مع تشغيل حلول بوابات البريد الإلكتروني الآمنة (SEG) القابلة لتحليل المرفقات والروابط داخل بيئات معزولة (Sandboxing) قبل تسليمها إلى صندوق بريد المستخدم النهائي.