كشفت جوجل مؤخرًا عن تفاصيل مثيرة تتعلق بهجوم سيبراني استخدم تقويم جوجل كوسيلة لسرقة المعلومات. يتعلق الأمر بمجموعة من المتسللين تُعرف باسم APT41، والتي يُعتقد أنها مرتبطة بحكومة الصين. الهجوم، الذي تم اكتشافه في أكتوبر 2024، انطلق من موقع حكومي مخترق، والذي استُخدم كمصدر لبرمجيات خبيثة تهدد أمن بيانات المستخدمين.
في إطار هذا الهجوم، اعتمد المخترقون أسلوب التصيد الاحتيالي الموجه الذي يستهدف أفرادًا محددين. حيث أرسلت رسائل إلكترونية تحتوي على روابط لملفات مضغوطة مستضافة على الموقع المخترق. وعند فتح هذه الملفات، يظهر ملف اختصار مُخادع يمهد الطريق لتحميل البرمجيات الخبيثة.
شوف كمان: توسيع نموذج الفيديو Veo 3 من جوجل ليشمل 71 دولة
عملت البرمجيات الخبيثة على ثلاث مراحل متتالية باستخدام تقنيات متقدمة لتفادي الاكتشاف. في المرحلة الأولى، يتم فك تشفير ملف DLL يُعرف باسم PLUSDROP. بينما تمنح المرحلة الثانية للمهاجم القدرة على تشغيل عمليات ويندوز شرعية تعزز من مظهر البرمجيات الخبيثة. أما المرحلة الأخيرة، فتكشف عن TOUGHPROGRESS التي تحمل البيانات السرية وتتواصل مع المهاجمين عبر تقويم جوجل.
من نفس التصنيف: تحديث ببجي 3.7 يجلب معارك نارية مثيرة وصعبة
استجابةً لهذا التهديد، قام فريق جوجل لاستخبارات التهديدات (GTIG) باتخاذ خطوات فورية لتعطيل الحسابات المستخدمة من قبل المهاجمين وإغلاق مشاريع جوجل وورك سبيس المرتبطة بالهجوم. كما تم تحديث أنظمة اكتشاف البرمجيات الضارة وتطبيق إجراءات أمنية متطورة لحماية المستخدمين.
أخيرًا، قامت جوجل بإبلاغ المؤسسات المعنية حول هذا الهجوم ووفرت عينات من حركة المرور الخاصة بالبرمجيات الخبيثة للمساعدة في كشف والتحقيق في النشاطات الضارة.