برنامج OXLOADER الخبيث

كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة جديدة، تحمل اسم REF8372، تستخدم أداة تحميل برمجيات خبيثة غير موثقة سابقًا تُعرف باسم OXLOADER لنشر برنامج CastleStealer الخبيث لسرقة المعلومات.

تبدأ العملية بإعلانات جوجل خبيثة مصممة لجذب الضحايا الباحثين عن برامج شائعة. تشير التحليلات إلى أن الجهات الفاعلة وراء هذه الحملة على الأرجح ناطقة بالروسية ولديها دوافع مالية. يستند هذا التقييم إلى استبعاد البرمجيات الخبيثة المتعمد للأنظمة الموجودة داخل رابطة الدول المستقلة، وهو تكتيك تستخدمه جماعات الجرائم الإلكترونية العاملة في المنطقة بشكل متكرر.

رغم أن إعلانات الحملة نُشرت تحت الاسم الموثق "ВОЛОДИМИР ТЕРЕЩЕНКО"، والذي يُزعم أنه مقره في أوكرانيا، إلا أنه لا يزال من غير الواضح ما إذا كانت هذه الهوية تعود للمشغلين أنفسهم أم أنها تمثل حسابًا مخترقًا أو تم شراؤه أو تزويره. وقد أزالت جوجل حساب المعلن والحملات المرتبطة به في 14 مايو 2026.

التلاعب بمحركات البحث يقود الضحايا إلى مواقع برامج مزيفة

تبدأ سلسلة العدوى عندما يبحث المستخدمون عن عبارات مثل "إصدار LTS من Node.js" عبر محركات البحث مثل جوجل. ويتم توجيه الضحايا، عبر نتائج البحث الممولة، إلى موقع ويب مزيف، node-js.prentiva99.info، ينتحل صفة مورد برمجيات شرعي.

يُطلب من المستخدمين الذين يتفاعلون مع الموقع الإلكتروني الاحتيالي تنزيل برنامج نصي مُستضاف على منصة Storj، وهي منصة تخزين سحابي لامركزية ومفتوحة المصدر. يُسلط استغلال الخدمات المشروعة مثل Storj الضوء على اتجاه متزايد بين الجهات الخبيثة، التي تعتمد بشكل متزايد على المنصات الموثوقة لتجاوز سمعة النطاق وآليات التصفية الأمنية.

سلسلة العدوى متعددة المراحل تخفي النشاط الخبيث

عند تشغيل ملف الدُفعة المُنزّل، يظهر معالج تثبيت وهمي، مما يُوهم المستخدم بأنه يُثبّت برنامجًا شرعيًا، بينما يقوم في الوقت نفسه بتنزيل حمولة المرحلة التالية، OXLOADER، من Storj سرًا. يتم استرجاع البرمجية الخبيثة عبر أمر PowerShell وتشغيلها باستخدام المعامل -Verb RunAs، مما يُؤدي إلى ظهور نافذة التحكم في حساب المستخدم (UAC) في نظام Windows.

يستخدم الهجوم لاحقًا تقنيات التحميل الجانبي لملفات DLL لتنفيذ مكتبة ارتباط ديناميكي خبيثة، والتي تقوم بفك تشفير وإطلاق الحمولة النهائية، CastleStealer.

تزيد تقنيات التهرب المتقدمة من صعوبة الكشف.

يشتمل برنامج OXLOADER على العديد من التقنيات المتطورة المصممة خصيصًا لعرقلة التحليل وتجنب الكشف:

  • طبقات متعددة من التعتيم، بما في ذلك تسطيح تدفق التحكم، والمسندات المبهمة، وتقنيات الحساب البولياني المختلطة.
  • إجراءات فك التشفير ذاتية التعديل، وإساءة استخدام قسم .reloc في نظام التشغيل Windows لتجهيز التعليمات البرمجية الخبيثة، وآليات مكافحة الحماية التي تمنع التنفيذ في بيئات التحليل الافتراضية.
  • تُظهر هذه القدرات نهجًا مدروسًا ومصممًا جيدًا لتجنب آليات الكشف الثابتة والديناميكية على حد سواء.

    تزايد حضور شركة CastleStealer في عمليات مكافحة الجرائم الإلكترونية

    CastleStealer هي عائلة برمجيات خبيثة لسرقة المعلومات مبنية على بيئة .NET، وقد ظهرت مؤخرًا في حملات إضافية. سبق توزيعها جنبًا إلى جنب مع CastleLoader عبر عملية احتيال هندسي اجتماعي على غرار ClickFix، حيث تظاهرت بأنها تطبيق مجاني لتحرير الصور، وذلك ضمن عملية تُعرف باسم BackgroundFix. وقد رُبطت CastleLoader بمجموعة أنشطة التهديدات التي تُعرف باسم GrayBravo.

    تهديد في مراحله المبكرة ذو إمكانات كبيرة

    على الرغم من أن برنامج OXLOADER يبدو أنه في المراحل الأولى من النشر التشغيلي، إلا أن تطوره التقني يستدعي اهتمامًا دقيقًا من جانب المدافعين. وتشير عدة خصائص إلى استثمار كبير من قبل مطوريه:

    • تشفير مكثف للبرمجيات وحماية ضد الآلات الافتراضية.
    • استخدام شفرة تبدو بريئة لإخفاء الملفات الثنائية الخبيثة وتقنيات فريدة لتجهيز الحمولة.

    أثبتت هذه الخيارات التصميمية فعاليتها بالفعل، مما مكّن برنامج OXLOADER من تحقيق معدلات كشف منخفضة عبر محركات المسح الثابتة وبيئات التفجير الآلية. ونتيجة لذلك، يستفيد البرنامج الخبيث حاليًا من فترة تشغيل قيّمة قبل تطوير بصمات كشف واسعة النطاق وتدابير مضادة.

    جار التحميل...