PHANTOMPULSE: برنامج خبيث جديد يستهدف القطاع المالي عبر LinkedIn وTelegram — ما لا يعرفه فريق الأمن بعد

رصد باحثو الأمن السيبراني في أبريل 2026 حملةً هجومية جديدة تستخدم أسلوباً لم يُوثَّق من قبل: توزيع برنامج وصول عن بُعد (RAT) مجهول الهوية يحمل اسم PHANTOMPULSE عبر تطبيق تدوين الملاحظات الشهير Obsidian. الأخطر في هذا التهديد أن قنوات توزيعه الرئيسية هي LinkedIn وTelegram — المنصتان اللتان يثق بهما يومياً مئات المختصين الماليين السعوديين.

كيف يعمل PHANTOMPULSE: سلسلة الهجوم خطوة بخطوة

تبدأ الحملة بمهاجم يتظاهر بأنه مسؤول توظيف أو شريك أعمال أو خبير تقني على LinkedIn، ثم يُرسل للضحية رابطاً لـ"مستودع معرفي" أو "نموذج تقييم" داخل تطبيق Obsidian. عند فتح الملف، يُنفَّذ سكريبت مخفي يثبّت PHANTOMPULSE في الخلفية دون أي نوافذ تحذير. البرنامج مكتوب بلغة Rust ويستخدم اتصالات C2 مشفّرة عبر بروتوكول WebSocket، مما يجعله شبه غير مرئي لأنظمة الكشف التقليدية القائمة على توقيعات الملفات. بعد التثبيت يمنح المهاجم سيطرة كاملة على الجهاز: تصوير الشاشة، وتسجيل ضربات لوحة المفاتيح، وسرقة بيانات الجلسات المصرفية وتطبيقات المصادقة الثنائية.

لماذا يُركّز المهاجمون على القطاع المالي والعملات الرقمية

ليس اختيار القطاع المالي عشوائياً؛ فبيانات اعتماد موظف واحد في بنك أو شركة تأمين أو منصة تداول قد تُمكّن المهاجم من الوصول إلى حسابات عملاء بالملايين، أو تجاوز ضوابط الصرف، أو زرع برامج الفدية في أعمق طبقات الشبكة. التقارير المبكرة تُشير إلى أن الحملة وثّقت اهتماماً خاصاً بمستخدمي تطبيقات إدارة الثروات والمحافظ الرقمية، وهو ما يتقاطع مباشرة مع التوسع السعودي نحو التمويل الرقمي ضمن رؤية 2030. الجدير بالذكر أن Telegram — إلى جانب LinkedIn — يُستخدم كقناة ثانوية لإيصال الطُّعوم الخبيثة، وكلا التطبيقين مسموح بهما عادةً في سياسات الاستخدام المؤسسي.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA وNCA

بموجب الإطار المرجعي لأمن المعلومات SAMA CSCC، يُلزَم البنك بامتلاك ضوابط موثّقة لأمن نقاط النهاية وإدارة الأجهزة (Domain 4.3)، فضلاً عن الإبلاغ الفوري عن الحوادث خلال 24 ساعة. أما NCA ECC فيشترط ضوابط صارمة لإدارة التطبيقات (ECC-2-1) وحظر البرامج غير المعتمدة. تهديد PHANTOMPULSE يختبر هذه الضوابط بشكل مباشر لأنه لا يستغل ثغرة في نظام التشغيل، بل يُوزَّع عبر ملفات تبدو حميدة تفتحها الضحية طوعاً. كما أن PDPL يُحمّل المؤسسة المسؤولية القانونية عن أي اختراق يُفضي إلى تسريب بيانات عملاء، بصرف النظر عن أسلوب الهجوم.

التوصيات والخطوات العملية الفورية

1. تقييد تطبيقات تدوين الملاحظات غير المعتمدة: أضف Obsidian وما يماثله إلى قائمة التطبيقات المحظورة على أجهزة العمل عبر سياسة AppLocker أو WDAC ما لم يكن استخدامه مُقرَّراً ومُراجَعاً أمنياً.
2. تعزيز وعي موظفي القطاع المالي بهجمات LinkedIn: أطلق جلسات توعية مركّزة بحملات التصيد عبر الشبكات المهنية، مع سيناريوهات محاكاة تُشابه أسلوب PHANTOMPULSE.
3. نشر حل EDR قادر على التحليل السلوكي: التوقيعات التقليدية لن تكتشف PHANTOMPULSE. استخدم أدوات EDR مثل CrowdStrike Falcon أو Microsoft Defender for Endpoint بأوضاع الكشف السلوكي المتقدم.
4. مراقبة حركة WebSocket المشبوهة: قم بتحليل اتصالات WebSocket الصادرة من أجهزة المستخدمين بحثاً عن أنماط C2 غير مألوفة، لا سيما تلك التي تستهدف نطاقات مُسجَّلة حديثاً.
5. مراجعة صلاحيات LinkedIn وTelegram على الشبكة: إذا لم تكن هذه التطبيقات ضرورية على أجهزة الشبكات الداخلية الحساسة، قيّد وصولها من خلال سياسة Next-Gen Firewall.
6. تفعيل المصادقة المتعددة العوامل المقاومة للتصيد (FIDO2): حتى لو سُرقت بيانات الجلسة، تمنع مفاتيح FIDO2 المهاجم من إعادة استخدامها على منظومات مختلفة.

الخلاصة

PHANTOMPULSE يُمثّل جيلاً جديداً من التهديدات التي تتجاوز الدفاعات التقنية وتستهدف العنصر البشري مباشرةً. اتكاؤه على أدوات إنتاجية شائعة وشبكات تواصل مهني يجعله أصعب رصداً وأوسع انتشاراً في بيئات العمل الحديثة. المؤسسة التي تعتمد فقط على الجدران النارية وبرامج مكافحة الفيروسات التقليدية ستجد نفسها عرضة لهذا النوع من الهجمات دون سابق إنذار.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد الثغرات قبل أن يجدها المهاجمون.