حملة برمجيات خبيثة مزدوجة الحمولة
تستقطب حملة برمجيات خبيثة تم الكشف عنها حديثًا اهتمامًا كبيرًا في أوساط الأمن السيبراني لقدرتها على نشر تهديدين مختلفين في آن واحد. إذ يُستخدم برنامج تحميل واحد مُشفر لتثبيت كل من برنامج Gh0st RAT وبرنامج CloverPlus الخبيث على نفس النظام المخترق.
هذا المزيج غير شائع ولكنه استراتيجي للغاية. يُمكّن برنامج Gh0st RAT من التحكم الكامل عن بُعد في الجهاز المُصاب، بينما يركز برنامج CloverPlus على التلاعب بنشاط المتصفح، وحقن مكونات إعلانية، وتحقيق الربح من خلال النوافذ المنبثقة المُزعجة. يسمح هذا الانتشار المزدوج للمهاجمين بالحفاظ على وصول غير مُصرّح به بشكل دائم مع تحقيق الربح من الإصابة في الوقت الفعلي.
تسلط هذه الحملة الضوء على اتجاه متزايد نحو تسليم حمولات متعددة، حيث يعمل المهاجمون على زيادة الكفاءة التشغيلية والعائد المالي من عملية اختراق واحدة.
جدول المحتويات
أساليب التمويه: إخفاء الحمولة
تم تصميم أداة التحميل الأساسية لهذه الحملة للتخفي. فهي تدمج حمولتين مشفرتين داخل قسم الموارد الخاص بها، باستخدام تقنيات التمويه لتجنب آليات الكشف التقليدية.
يبدأ التنفيذ بوحدة CloverPlus الإعلانية، المُعرَّفة باسم AdWare.Win32.CloverPlus والمرتبطة بملف تنفيذي يُسمى wiseman.exe. يقوم هذا المكون بتعديل إعدادات بدء تشغيل المتصفح وحقن إعلانات منبثقة مستمرة.
بعد ذلك، يُقيّم برنامج التحميل مسار تنفيذه. إذا لم يكن يعمل من مجلد %temp% الخاص بالنظام، فإنه يُنشئ نسخةً من نفسه هناك قبل المتابعة. تتضمن المرحلة التالية فك تشفير وحدة عميل Gh0st RAT، والتي تُخفى أيضًا كمورد مُشفّر داخل ملف البرنامج الخبيث.
بمجرد فك تشفيرها، يقوم البرنامج الخبيث بتعيين اسم ملف عشوائي للحمولة وتخزينها في مجلد يحمل اسمًا عشوائيًا موجود في جذر محرك الأقراص C:\، مما يزيد من تعقيد عملية الكشف والتحليل.
العيش على خيرات الأرض: أدوات موثوقة، نوايا خبيثة
لتنفيذ الحمولة المشفرة، يستغل البرنامج الخبيث أداة ويندوز الشرعية rundll32.exe. يُمكّن هذا الأسلوب من تنفيذ التعليمات البرمجية الخبيثة تحت ستار عملية نظام موثوقة، مما يقلل بشكل كبير من احتمالية تفعيل أنظمة الحماية.
بمجرد تفعيله، يبدأ برنامج Gh0st RAT بتحليل النظام المخترق من خلال جمع معرّفات فريدة مثل عنوان MAC والرقم التسلسلي للقرص الصلب. تُستخدم هذه البيانات لتسجيل الضحية ضمن بنية التحكم والسيطرة الخاصة بالمهاجم، مما يضمن تتبعًا دقيقًا وإدارة فعّالة للأجهزة المصابة.
آليات الاستمرارية: ضمان الوصول على المدى الطويل
يُعدّ الحفاظ على الوصول بعد إعادة تشغيل النظام هدفًا رئيسيًا لهذه الحملة. يحقق برنامج Gh0st RAT استمراريته من خلال تقنيات متعددة مُدمجة بعمق في نظام التشغيل.
تعديل مفتاح التسجيل الخاص بـ "تشغيل" في نظام التشغيل Windows لضمان التشغيل التلقائي عند بدء التشغيل
تسجيل ملف DLL خبيث ضمن مسار خدمة الوصول عن بُعد الموجود في SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip
تمنح هذه الأساليب البرامج الضارة امتيازات على مستوى النظام كلما تم تشغيل الخدمة المرتبطة بها، مما يلغي الحاجة إلى مزيد من تفاعل المستخدم ويعزز التحكم طويل الأمد.
الكشف والدفاع: مؤشرات الاختراق
إن تأثير هذه الحملة كبير على الأفراد والمنظمات على حد سواء. فبينما يعطل مكون البرامج الإعلانية وظائف المتصفح ويزيد من التعرض للإعلانات الضارة، يُمكّن مكون التحكم عن بُعد من سرقة البيانات، وتسجيل ضغطات المفاتيح، وتجاوز إجراءات الأمان، والوصول المستمر إلى صلاحيات مميزة.
ينبغي على فرق الأمن أن تظل متيقظة وأن تراقب المؤشرات التالية للاختراق:
- تشغيل برنامج rundll32.exe لتحميل ملفات DLL أو امتدادات ملفات غير قياسية من مجلدات غير عادية أو مشبوهة
- نشاط المعالجة الناشئ من مجلد %temp%
- إجراء تعديلات غير مصرح بها على مفاتيح تشغيل سجل النظام أو إعدادات خدمة الوصول عن بُعد
- استخدام التأخيرات القائمة على اختبار الاتصال لتجنب اكتشاف بيئة الاختبار المعزولة
- أنماط حركة مرور نظام أسماء النطاقات غير الطبيعية والتغييرات غير المتوقعة في ملف مضيفي النظام
تعتبر المراقبة الاستباقية والاستجابة السريعة لهذه الإشارات أمراً بالغ الأهمية للتخفيف من المخاطر التي تشكلها حملة البرامج الضارة المعقدة ذات التهديد المزدوج.
