برمجية DeepLoad الخبيثة

تستخدم حملة هجومية تم اكتشافها حديثًا تقنية الهندسة الاجتماعية ClickFix لبدء عملية الإصابة. يتم التلاعب بالضحايا لحملهم على تنفيذ أوامر PowerShell خبيثة عن طريق لصقها في مربع حوار "تشغيل" في نظام ويندوز، بحجة حل مشكلة نظام وهمية. تستغل هذه الخطوة الأولية أداة mshta.exe، وهي أداة ويندوز شرعية، لاسترداد وتنفيذ برنامج تحميل مُشفر قائم على PowerShell.

تمويه مصمم للتهرب

يُخفي مُحمّل PowerShell غرضه الحقيقي من خلال تعيينات مُتغيرات مُفرطة وغير مُجدية، مما يُعقّد التحليل الثابت بشكل كبير. تُشير الأدلة إلى أنه من المُرجّح استخدام أدوات الذكاء الاصطناعي لبناء طبقة التمويه هذه، مما يُعزز من تعقيدها. يُمكّن هذا الأسلوب البرمجية الخبيثة من تجاوز آليات الكشف التقليدية مع الحفاظ على سلامة العمليات.

التخفي من خلال تمويه النظام

صُمم برنامج DeepLoad الخبيث خصيصًا ليتكامل بسلاسة مع عمليات نظام ويندوز القياسية. يُخفى البرنامج الخبيث داخل ملف تنفيذي يُدعى LockAppHost.exe، وهو عملية شرعية مسؤولة عن إدارة شاشة قفل ويندوز. ولمزيد من التمويه، يُعطّل البرنامج الخبيث سجل أوامر PowerShell ويستدعي مباشرةً وظائف ويندوز الأساسية بدلًا من الاعتماد على أوامر PowerShell القياسية. تُمكّنه هذه التقنية من التهرب من أنظمة المراقبة التي تتعقب نشاط PowerShell.

تقنيات بدون ملفات وتوليد حمولة ديناميكية

لتقليل احتمالية اكتشافه، يتجنب برنامج DeepLoad ترك أي ملفات متسقة على القرص. فهو يُنشئ ديناميكيًا مكونًا ثانويًا باستخدام ميزة Add-Type في PowerShell، ويُحوّل كود C# إلى ملف DLL مؤقت يُخزّن في مجلد Temp الخاص بالمستخدم. ينتج عن كل عملية تنفيذ ملفٌ باسم فريد، متجاوزًا بذلك أساليب الكشف القائمة على الملفات والتي تعتمد على التوقيعات المعروفة.

حقن متطور للتنفيذ السري

تتمثل إحدى استراتيجيات التهرب الرئيسية في استخدام حقن استدعاء الإجراءات غير المتزامنة (APC). يقوم البرنامج الخبيث بتشغيل عملية ويندوز شرعية في حالة تعليق، ثم يحقن شيفرة برمجية مباشرة في ذاكرتها، ويستأنف التنفيذ. تضمن هذه الطريقة تشغيل الحمولة الخبيثة ضمن عملية موثوقة دون كتابة نسخة مفككة منها على القرص، مما يقلل بشكل كبير من آثارها الجنائية الرقمية.

آليات سرقة بيانات الاعتماد المستمرة

صُممت أداة DeepLoad لاستخراج بيانات المستخدم الحساسة فور تشغيلها. وتشمل قدراتها ما يلي:

• استخراج كلمات مرور المتصفح المخزنة مباشرة من النظام المصاب

الانتشار الجانبي عبر الوسائط القابلة للإزالة

يستخدم هذا البرنامج الخبيث تقنيات انتشار مصممة لاستغلال أجهزة التخزين القابلة للإزالة. عند اكتشاف محركات أقراص USB أو وسائط تخزين مماثلة، يقوم بنسخ ملفات اختصار خبيثة متنكرة في هيئة برامج تثبيت شرعية. تُسمى هذه الملفات بأسماء تبدو موثوقة، مما يزيد من احتمالية تفاعل المستخدم معها وانتشار العدوى.

إعادة العدوى الصامتة من خلال إساءة استخدام WMI

يُرسّخ برنامج DeepLoad استمراريته باستخدام أداة إدارة ويندوز (WMI). فهو يُنشئ اشتراكات أحداث تُفعّل إعادة الإصابة بعد تأخير ثلاثة أيام، دون الحاجة إلى أي تفاعل من المستخدم أو تدخل من المهاجم. كما تُعطّل هذه التقنية نماذج الكشف التقليدية من خلال كسر علاقات العمليات الأبوية والفرعية المتوقعة.

الهدف الاستراتيجي: تغطية كاملة لسلسلة القتل

يشير التصميم العام لبرنامج DeepLoad إلى إطار عمل برمجي خبيث متعدد الوظائف قادر على تنفيذ إجراءات عبر سلسلة الهجمات الإلكترونية بأكملها. وتركز استراتيجيته التشغيلية على ما يلي:

• تجنب القطع الأثرية الموجودة على القرص لتقليل فرص الكشف.
• دمج النشاط الضار ضمن عمليات ويندوز المشروعة
• ينتشر بسرعة عبر الأنظمة لتوسيع نطاق تأثيره

مؤشرات إطار عمل قابل للتطوير للتهديدات

تشير البنية التحتية والتصميم المعياري المرتبطين ببرنامج DeepLoad إلى إمكانية وجود نموذج نشر مشترك أو قائم على الخدمات. ورغم أن خصائصه تتوافق مع عروض البرمجيات الخبيثة كخدمة (MaaS)، إلا أنه لا توجد حاليًا أدلة كافية لتأكيد هذا التصنيف بشكل قاطع.