قادتني رسالة بريد إلكتروني إلى التحقيق في واحدة من أكبر حملات التصيد الاحتيالي في الوقت الحالي!
05/02/2026
المؤلف: خوان ماثيوز ريبيلو سانتوس
1. ملخص تنفيذي
يوثق هذا التقرير الفني التحقيق الجنائي الذي أجريته عند تلقي رسالة بريد إلكتروني احتيالية تحتوي على إشعار بالجائزة المزعومة وإيداع مالي معلق. وكشف التحليل عن بنية تحتية متطورة لجرائم الإنترنت تقوم بحملات التصيد الاحتيالي والبرمجيات الخبيثة وحملات الاحتيال التابعة لها على نطاق دولي.
أثناء التحقيق، حددت سلسلة من عمليات إعادة التوجيه تتكون من:
- البريد الإلكتروني العشوائي مع الهندسة الاجتماعية؛
- إساءة استخدام البنية التحتية لصفحات Cloudflare؛
- التزام موظفي الحكومة في جمهورية الكونغو الديمقراطية؛
- البنية التحتية للقيادة والسيطرة (C2)؛
- استخدام خوارزمية إنشاء المجال (DGA)؛
- شهادات Wildcard SSL؛
- وتحقيق الدخل من خلال البرامج التابعة لـ Norton/Gen Digital عبر Impact Radius.
تُظهر العملية مستوى عالٍ من الاحترافية التقنية والتهرب من التحليل وأتمتة الحملات الضارة.
2. أصل التحقيق
بدأ التحقيق بعد أن تلقيت رسالة بريد إلكتروني مزورة بشكل واضح مرسلة إلى العنوان:
[email protected]
وكان موضوع الرسالة:
رمز الجائزة
يمزج محتوى البريد الإلكتروني بين النص العربي ورسائل الإلحاح المالي، وهي استراتيجية تستخدم لعرقلة مرشحات مكافحة البريد العشوائي وزيادة مظهر الشرعية.
مقتطف تم تحديده:
شكراً على مشاركتك في الأوطان
يرجى الإصلاح الشامل للإصلاح عند الإصلاح
الترجمة التقريبية:
"شكرًا لمشاركتك في المسابقة.
يرجى الاحتفاظ بالرمز للتحقق أثناء السحب.
تضمنت الرسالة أيضًا رمزًا ترويجيًا مفترضًا:
الكود: 9132289937520370
ومع ذلك، كان الهدف الحقيقي من البريد الإلكتروني هو خداع المستخدم للنقر على رابط ضار مدرج في منتصف الرسالة:
⚠️ عاجل: إيداعك البالغ 3,639.00 دولارًا أمريكيًا معلق. أكد الآن:
https://obs.regideso.cd/?8nqrpm
يعرض المحتوى أيضًا عنوان بريدي الإلكتروني لإضافة إحساس بالتخصيص والشرعية:
خوانماثيوزريبيلوسانتوس[email protected]
أظهر التحليل أن البريد الإلكتروني تم تصميمه ليجمع بين:
- جوائز وهمية؛
- الإلحاح المالي؛
- لغة أجنبية؛
- الهندسة الاجتماعية.
- والإخفاء الجزئي لعملية الاحتيال.
وكان الهدف هو حث الضحية على النقر على الفور.
3. سلسلة إعادة التوجيه الخبيثة
عند الدخول على الرابط:
https://obs.regideso.cd/?8nqrpm
لقد حددت أن المجال يعمل فقط كمرحل وسيط داخل العملية.
التدفق الكامل الذي لوحظ أثناء التحقيق كان:
البريد الإلكتروني العشوائي
↓
obs.regideso.cd
↓
الكتان-وارف-river.pages.dev
↓
النطاقات الفرعية العشوائية لموقع yandehyto.com
↓
نطاقات برامج التخويف/التصيد الاحتيالي
ومن بين الوجهات النهائية التي تم تحديدها:
- "pelnoriva.shop".
- "baleiddiste.com".
- "phidatharacce.com".
توضح هذه البنية سلسلة احترافية من تشويش البنية التحتية، مما يجعل التتبع والحظر الآلي والتحليل الجنائي أمرًا صعبًا.
4. تحليل التتابع الملتزم
المجال:
obs.regideso.cd
تم الحل إلى IP:
161.35.30.54
مستضافة على البنية التحتية لـ DigitalOcean.
يبدو أن الأصل ينتمي إلى الشركة العامة لإمدادات المياه في جمهورية الكونغو الديمقراطية:
- ريجيديسو سا
خلال تحليل بيئة الويب، حددت:
- ملفات PHP غير المصرح بها؛
- البرامج النصية تعمل كمعيدي التوجيه؛
- التعرض لبيئة لارافيل.
- تعمل الواجهة الخلفية في وضع التصحيح.
الملفات المرصودة:
معلومات.phpindex.php
تم أيضًا الكشف عن مسارات الخادم الداخلية المطلقة:
C:\api-factures\api-factures\
يؤكد الكشف عن هذه المعلومات وجود عيوب شديدة في التصلب والتكوين غير الآمن لإطار عمل Laravel.
5. البنية التحتية للقيادة والتحكم (C2)
كان جوهر العملية مركزيًا على خادم يعمل على النحو التالي:
- معيد التوجيه المركزي؛
- انقر تعقب.
- بوابة تحقيق الدخل.
- ومراقب الحملة.
تم تحديد نقطة النهاية:
/click.php
6. تقنيات التهرب
6.1 إخفاء الهوية ضد التحليل
لقد حددت أن الخادم قام بتنفيذ إخفاء الهوية النشط ضد:
*الباحثون؛ * الماسحات الضوئية الآلية؛ * عناوين IP لمراكز البيانات؛ * أدوات مثل "curl" و"Nmap".
عندما اكتشف الخادم بيئة مشبوهة، استجاب الخادم بما يلي:
HTTP/1.1 302وجدت
الموقع: http://yahoo.com/
أو:
الموقع: http://google.com/
تقلل هذه التقنية بشكل كبير من تعرض الصفحة المقصودة الضارة لأنظمة الأمان.
6.2 DGA وWildcard DNS
أثناء التحقيق، حددت الاستخدام المكثف لـ Wildcard DNS في المجال:
yandehyto.com
تم حل أي مجال فرعي عشوائي بشكل صحيح لخادم C2.
الأمثلة المحددة:
q5tzrz.yandehyto.comsj9k9f.yandehyto.com- "whonou.yandehyto.com".
تسمح هذه التقنية بتدوير عناوين URL بشكل لا نهائي دون الحاجة إلى تسجيل نطاقات جديدة.
6.3 شهادات Wildcard SSL
استخدم المشغل شهادات Wildcard صالحة صادرة عن Let's Encrypt:
*.yandehyto.com
وقد أتاح هذا استخدام HTTPS صالحًا لجميع النطاقات الفرعية التي تم إنشاؤها ديناميكيًا، مما أدى إلى زيادة مصداقية عملية الاحتيال.
7. تحليل البرامج التخويفية للحمولة
بعد عمليات إعادة التوجيه، تمت إعادة توجيه الضحية إلى الصفحات المستضافة على:
- "pelnoriva.shop".
- "baleiddiste.com".
- "phidatharacce.com".
قامت هذه الصفحات بتشغيل جافا سكريبت ضار يحاكي واجهة:
- مكافي الحماية الكاملة
يحتوي الكود على وظائف مثل:
```جافا سكريبت start_circleProgress()
التي تحاكي عمليات فحص مكافحة الفيروسات المزيفة وتعرض تهديدات غير موجودة:
* `Win32/Hoax.Renos.HX`
* `حصان طروادة IRC/Backdor.Sd.FRV`
لقد حددت أيضًا:
* استخدام واجهة برمجة تطبيقات FullScreen؛
* حجب الملاحة.
* التقاط التركيز على علامة التبويب.
* اعتراض `onbeforeunload`.
وكان الهدف هو توليد ضغط نفسي لحث الضحية على شراء برنامج مكافحة الفيروسات على الفور.
---
# 8. الاحتيال على الشركات التابعة
تم تحقيق الدخل النهائي من خلال عمليات إعادة التوجيه إلى الصفحات الشرعية من:
* نورتون لايف لوك
*الجنرال ديجيتال
أساءت الحملة استخدام المنصة التابعة:
* نصف قطر التأثير
تم العثور على المعرفات:
```نص
معرف الشريك: 3076190
معرف الحملة: 4405
قام نموذج التشغيل بتحويل الخوف الناجم عن البرمجيات الخبيثة إلى عمولة مالية.
9. أدلة الطب الشرعي
إعادة توجيه HTTP
تم العثور على HTTP/1.1 302
الخادم: nginx/1.28.0
التاريخ: الجمعة 01 مايو 2026 الساعة 20:12:37 بتوقيت جرينتش
الموقع: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...
كشف الحجب:
[تم تشغيل الاكتشاف] -> إعادة التوجيه إلى http://yahoo.com/
شهادة SSL
العمق = 0 CN = yandehyto.com
الاسم البديل للموضوع X509v3:
DNS:*.yandehyto.com
DNS:yandehyto.com
المصدر:
ج = الولايات المتحدة
O = هيا نقوم بالتشفير
CN = E7
10. مؤشرات الالتزام (IOCs)
عناوين IP
161.35.30.54
المجالات
smilingtooth.com.saobs.regideso.cd- "linen-wharf-river.pages.dev".
yandehyto.com- "baleiddiste.com".
- "phidatharacce.com".
- "pelnoriva.shop".
pelnoriva.pelnoriva.shop
النطاقات الفرعية DGA
q5tzrz.yandehyto.comsj9k9f.yandehyto.com- "whonou.yandehyto.com".
معرفات الشركات التابعة
معرف شريك Impact Radius: 3076190
معرف الحملة: 4405
11. الخلاصة
بناءً على التحقيق بأكمله الذي تم إجراؤه، خلصت إلى أن الحملة التي تم تحليلها تمثل عملية إجرامية إلكترونية احترافية للغاية، وذلك باستخدام:
- التصيد؛
- برامج تخويف.
- إخفاء الهوية؛
- دي جي ايه؛
- إساءة استخدام البنية التحتية المشروعة؛
- الاحتيال التابع؛
- وخوادم الطرف الثالث المعرضة للخطر.
وتظهر العملية قدرة فنية قوية في:
- التهرب من التحليل؛
- الهندسة الاجتماعية.
- تسييل احتيالي.
- أتمتة الحملة؛
- وإخفاء البنية التحتية.
12. مراجع وتحليلات موثوقة لعناوين URL
فيما يلي الروابط التي تثبت تحليل النطاقات وعناوين URL على منصات استخبارات التهديدات.
فايروس توتال
- https://www.virustotal.com/gui/domain/obs.regideso.cd
- [https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1] (https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1)
- https://www.virustotal.com/gui/domain/linen-wharf-river.pages.dev
- https://www.virustotal.com/gui/domain/yandehyto.com
- https://www.virustotal.com/gui/search?query=q5tzrz.yandehyto.com
- https://www.virustotal.com/gui/search?query=sj9k9f.yandehyto.com
- https://www.virustotal.com/gui/search?query=whonou.yandehyto.com
- https://www.virustotal.com/gui/domain/baleiddiste.com
- https://www.virustotal.com/gui/domain/phidatharacce.com
- https://www.virustotal.com/gui/domain/pelnoriva.shop
- https://www.virustotal.com/gui/domain/pelnoriva.pelnoriva.shop
AlienVault OTX
إساءة استخدام IPDB
سينسيس
- https://search.censys.io/search?resource=hosts&q=baleiddiste.com
- https://search.censys.io/search?resource=hosts&q=linen-wharf-river.pages.dev
- https://search.censys.io/search?resource=hosts&q=pelnoriva.pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=phidatharacce.com
- https://search.censys.io/search?resource=hosts&q=q5tzrz.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=sj9k9f.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=smilingtooth.com.sa
- https://search.censys.io/search?resource=hosts&q=whonou.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=yandehyto.com
المسارات الأمنية
- https://securitytrails.com/domain/baleiddiste.com
- https://securitytrails.com/domain/linen-wharf-river.pages.dev
- https://securitytrails.com/domain/pelnoriva.pelnoriva.shop
- https://securitytrails.com/domain/pelnoriva.shop
- https://securitytrails.com/domain/phidatharacce.com
- https://securitytrails.com/domain/q5tzrz.yandehyto.com
- https://securitytrails.com/domain/sj9k9f.yandehyto.com
- https://securitytrails.com/domain/smilingtooth.com.sa
- https://securitytrails.com/domain/whonou.yandehyto.com
- https://securitytrails.com/domain/yandehyto.com
urlscan.io
- https://urlscan.io/search/#baleiddiste.com
- https://urlscan.io/search/#linen-wharf-river.pages.dev
- https://urlscan.io/search/#pelnoriva.pelnoriva.shop
- https://urlscan.io/search/#pelnoriva.shop
- https://urlscan.io/search/#phidatharacce.com
- https://urlscan.io/search/#q5tzrz.yandehyto.com
- https://urlscan.io/search/#sj9k9f.yandehyto.com
- https://urlscan.io/search/#smilingtooth.com.sa
- https://urlscan.io/search/#whonou.yandehyto.com
- https://urlscan.io/search/#yandehyto.com
شودان
- https://www.shodan.io/search?query=baleiddiste.com
- https://www.shodan.io/search?query=linen-wharf-river.pages.dev
- https://www.shodan.io/search?query=pelnoriva.pelnoriva.shop
- https://www.shodan.io/search?query=pelnoriva.shop
- https://www.shodan.io/search?query=phidatharacce.com
- https://www.shodan.io/search?query=q5tzrz.yandehyto.com
- https://www.shodan.io/search?query=sj9k9f.yandehyto.com
- https://www.shodan.io/search?query=smilingtooth.com.sa
- https://www.shodan.io/search?query=whonou.yandehyto.com
- https://www.shodan.io/search?query=yandehyto.com
ملاحظة: لقد تم بالفعل الإبلاغ عن الأنشطة الضارة ومؤشرات الاختراق إلى السلطات المختصة.