تنزيل PEAKLIGHT

اكتشف باحثو الأمن السيبراني أداة جديدة مصممة لنشر مراحل لاحقة من البرامج الضارة، والتي تستهدف في النهاية أنظمة Windows باستخدام سارقي المعلومات وأدوات التحميل.

يقوم برنامج التنزيل الذي يعمل على الذاكرة فقط بفك تشفير وتشغيل برنامج تنزيل قائم على PowerShell، والذي يُعرف باسم PEAKLIGHT. تشمل سلالات البرامج الضارة الموزعة من خلال هذه الطريقة Lumma Stealer وHijack Loader (المعروف أيضًا باسم DOILoader أو IDAT Loader أو SHADOWLADDER) و CryptBot ، وكلها تُعرض كجزء من نموذج البرامج الضارة كخدمة (MaaS).

متجه الهجوم الأولي وسلسلة الهجوم

تبدأ سلسلة الهجمات بملف اختصار Windows (LNK) يتم تنزيله من خلال طرق التنزيل غير المباشرة، مثل عندما يبحث المستخدمون عن أفلام عبر الإنترنت. يتم حزم ملفات LNK هذه في أرشيفات ZIP متخفية في هيئة أفلام مقرصنة.

بمجرد تنزيله، يتصل ملف LNK بشبكة توصيل المحتوى (CDN) التي تستضيف برنامج تنزيل JavaScript معتمًا يعمل على الذاكرة فقط. ثم يقوم هذا البرنامج بعد ذلك بتنفيذ البرنامج النصي لتنزيل PEAKLIGHT PowerShell على جهاز الضحية، والذي بدوره يتصل بخادم Command-and-Control (C2) لاسترداد المزيد من الحمولات.

لقد لاحظ الباحثون اختلافات مختلفة في ملفات LNK، حيث يستخدم البعض علامات النجمة (*) كأحرف بديلة لاستدعاء الملف الثنائي mshta.exe الشرعي، مما يسمح بتنفيذ الكود الضار (أي، القطارة) بشكل سري من خادم بعيد.

تخفي شركة PEAKLIGHT أفعالها المهددة وراء أفلام مشروعة

وعلى نحو مماثل، وجد أن البرامج التي تفرز هذه البرامج تحتوي على حمولات PowerShell مشفرة بترميز سداسي عشري وBase64. ويتم فك ضغط هذه الحمولات لتشغيل PEAKLIGHT، وهي أداة مصممة لنشر البرامج الضارة اللاحقة على نظام مصاب مع تنزيل مقطع دعائي لفيلم شرعي، على الأرجح كطعم.

يعمل PEAKLIGHT كأداة تنزيل مشوشة تعتمد على PowerShell ضمن سلسلة تنفيذ متعددة المراحل. فهو يبحث عن أرشيفات ZIP في مسارات ملفات محددة مبرمجة. وإذا لم يتم العثور على هذه الأرشيفات، يتصل أداة التنزيل بموقع CDN لتنزيل ملف الأرشيف وحفظه على القرص.

هذه ليست الحالة الأولى التي تستهدف فيها البرامج الضارة المستخدمين الذين يبحثون عن أفلام مقرصنة. في أوائل يونيو 2024، اكتشف الباحثون سلسلة عدوى متطورة أدت إلى نشر Hijack Loader بعد محاولة تنزيل ملف فيديو من موقع تنزيل أفلام.

برامج التنزيل تفتح الباب أمام المزيد من البرامج الضارة المتخصصة

يشكل برنامج التنزيل الخبيث العديد من المخاطر الكبيرة على الأفراد والمؤسسات:

• الاختراق الأولي : غالبًا ما يكون برنامج التنزيل الخبيث هو المرحلة الأولى من هجوم أكبر. بمجرد تثبيته، يمكنه تنزيل وتثبيت حمولات ضارة إضافية بصمت، بما في ذلك البرامج الضارة الأكثر تقدمًا.
• سرقة البيانات : يمكن أن تشمل الحمولات الإضافية التي ينقلها برنامج التنزيل الضار سارقي المعلومات الذين يلتقطون البيانات الخاصة، مثل بيانات اعتماد تسجيل الدخول، والمعلومات المالية، والتفاصيل الشخصية، مما يؤدي إلى سرقة الهوية والخسارة المالية.
• اختطاف النظام : تم تصميم بعض برامج التنزيل الضارة لنشر أدوات الوصول عن بعد أو الأبواب الخلفية، مما يسمح للمهاجمين بالسيطرة على النظام المصاب. يمكن أن يؤدي هذا إلى الوصول غير المصرح به إلى شبكات الشركات، وانتهاكات البيانات، والمزيد من الاختراقات للنظام.
• نشر برامج الفدية : قد يتم استخدام برامج التنزيل الضارة لتثبيت برامج الفدية، والتي يمكنها تشفير ملفات الضحية والمطالبة بدفع فدية مقابل إطلاق سراحها. وقد يؤدي هذا إلى فقدان كبير للبيانات وانقطاع التشغيل.
• زيادة نقاط الضعف : بمجرد تثبيت البرامج الضارة التي يتم تنزيلها، فإنها قد تضعف دفاعات النظام وتخلق نقاط ضعف يمكن لأنواع أخرى من البرامج الضارة استغلالها. وهذا يجعل من السهل على المهاجمين نشر تهديدات أكثر خطورة أو استمرارية.
• الانتشار عبر الشبكة : يمكن أن ينتشر برنامج Downloader الخبيث عبر الشبكات، فيصيب الأجهزة والأنظمة الأخرى ضمن نفس البيئة. وقد يتسبب هذا في أضرار واسعة النطاق ويزيد من تعقيد جهود الإصلاح.
• استنزاف الموارد : يمكن للبرامج الضارة استهلاك موارد النظام مثل وحدة المعالجة المركزية وعرض النطاق الترددي، مما يؤدي إلى تدهور الأداء وانقطاع الخدمة المحتمل. ويمكن أن يؤثر هذا على الإنتاجية ويزيد من تكاليف التشغيل.
• المخاطر القانونية والامتثالية : قد تواجه المؤسسات المصابة مشكلات قانونية وامتثالية، خاصة إذا كان خرق البيانات يتضمن معلومات حساسة أو خاضعة للتنظيم. وقد يؤدي هذا إلى فرض غرامات وإجراءات قانونية وإلحاق الضرر بالسمعة.

بشكل عام، تشكل برامج التنزيل الضارة تهديدًا خطيرًا نظرًا لدورها في تسهيل المزيد من الهجمات والتأثير على أمن وسلامة الأنظمة والشبكات المتضررة.