حذر باحثو الأمن السيبراني من حملة خبيثة تستغل الشعبية المتصاعدة لأداة البرمجة غوغل "Antigravity"، عبر مواقع مزيفة تقدم برنامج تثبيت يبدو شرعياً بالكامل، لكنه يخفي برمجية تجسس قادرة على سرقة الحسابات والبيانات خلال دقائق، من دون أن يلاحظ المستخدم أي شيء غير طبيعي.

وبحسب التحليل الأمني، تنتحل الحملة موقع الأداة الرسمي عبر نطاقات مزيفة شبيهة، مثل "google-antigravity[.]com" بدلاً من الموقع الحقيقي "antigravity.google"، تدفع الضحايا لتنزيل ملف يبدو طبيعياً باسم "Antigravity_v1.22.2.0.exe" بحجم 138 ميغابايت، وهو في الواقع يحتوي النسخة الأصلية من البرنامج، لكن مع تعديل خفي يسمح بتشغيل سكربت "PowerShell" ضار أثناء التثبيت.

كيف تعمل الخدعة؟

الخطورة، وفق الباحثين، أن البرنامج يعمل فعلاً كما هو متوقع، ويُثبت أداة "أنتي غرافيتي" الحقيقية بنجاح، مع ظهور اختصار على سطح المكتب وتشغيل طبيعي، بينما يجري الهجوم في الخلفية.

المُثبت الخبيث يُسقط ملفين نصيين في الجهاز، أحدهما يتصل بخادم المهاجم عبر "HTTPS" على العنوان "opus-dsn[.]com"، وآخر عبر عنوان "IP 89[.]124[.]96[.]27"، لجلب أوامر إضافية عند اختيار الضحية للهجوم.

ثلاث مراحل للهجوم

وبحسب موقع "Malware bytes"، فإن المهاجم إذا قرر التصعيد، تبدأ العملية بثلاث خطوات خطيرة:

1- تعطيل الحماية: استثناء ملفات وعمليات من فحص "ويندوز ديفيندر"  وتعطيل واجهة فحص البرمجيات الضارة "AMSI".

2- الزرع والتزييف: تنزيل ملف مشفّر مموّه باسم صورة "secret.png" من "captr.b-cdn[.]net"، وإنشاء مهمة مجدولة مزيفة باسم يشبه مهام تحديث مايكروسوفت إيدج.

3- تحميل برمجية تجسس: تشغيل حمولة خبيثة في الذاكرة فقط دون ترك ملف تنفيذي واضح على القرص.

ماذا تسرق البرمجية؟

الحمولة المكتشفة تستهدف: كلمات المرور المحفوظة في المتصفحات، وملفات تعريف الارتباط (كوكيز) التي تسمح باختطاف الجلسات دون كلمة مرور أو 2FA، وكذلك بيانات البطاقات المحفوظة وحقول التعبئة التلقائية، ورموز ديسكورد، وتليغرام، وبيانات "ستيم" و"FTP"، ومحافظ العملات المشفرة.

الحمولة لا تكتفي بالسرقة، بل تتضمن أدوات لتسجيل ضغطات المفاتيح، واختطاف الحافظة لتبديل عناوين محافظ العملات، وحتى إنشاء "سطح مكتب مخفي" يسمح للمهاجم بالعمل داخل جهاز الضحية دون ظهور أي نشاط على الشاشة.

من جانبهم، يرى الباحثون أن الخطورة تكمن في كون الهجوم جزء من نمط متكرر يستغل إطلاق أدوات الذكاء الاصطناعي الجديدة، حيث تظهر سريعاً مواقع مقلدة وبرامج تثبيت ملغّمة قبل أن يتعرف المستخدمون على المصادر الأصلية.

ماذا تفعل لحماية نفسك؟

إذا حملت "غوغل أنتي غرافيتي" من أي مصدر غير "antigravity.google"، ينصح الخبراء بالتحرك فوراً وتنفيذ الآتي:

  • البحث عن اتصالات بالمؤشرات: "opus-dsn[.]com"، و"captr.b-cdn[.]net"، و"89[.]124[.]96[.]27".
  • تسجيل الخروج من جميع الجلسات النشطة للحسابات المهمة.
  • تغيير كلمات المرور ومفاتيح "API" فوراً.
  • نقل أصول العملات الرقمية من جهاز نظيف.
  • مراقبة الحسابات البنكية لأي نشاط غير معتاد
  • إعادة تثبيت ويندوز بالكامل وعدم الوثوق بالجهاز المصاب.
  • إبلاغ فريق تقنية المعلومات فوراً إذا كان الجهاز تابعاً للعمل.

لمستخدمي "آبل باي".. 10 إجراءات أمنية فورية يجب اتخاذها لتأمين حسابك البنكي - موقع 24في ظل تصاعد التهديدات الرقمية وتطور أساليب الاحتيال، عاد ملف أمان المدفوعات الإلكترونية إلى الواجهة، بعد تحذيرات من ثغرة أمنية جديدة تستغل خاصية الدفع اللاتلامسي في "Apple Pay"، ما يعرّض مستخدمي أجهزة "آيفون" لمحاولات سرقة حتى دون فتح الهاتف.