أوليمب لودر..برمجية خبيثة جديدة تُعرض على منتديات القراصنة بمزايا مضادة للتحليل والكشف

شهدت الساحة السيبرانية ظهور تهديد جديد من نوع “البرمجيات الخبيثة كخدمة” (MaaS) يُدعى “Olymp Loader”، والذي بدأ انتشاره بشكل مكثف في يونيو 2025 عبر منتديات القراصنة مثل XSS وHackForums.

هذه الخدمة التي يتم الترويج لها من قبل مشغل يُعرف باسم “OLYMPO”، تُسوق كأداة متطورة مكتوبة بالكامل بلغة التجميع (Assembly)، بهدف جذب المجرمين الإلكترونيين عبر ادعاءات حول أدائها العالي ومقاومتها لعمليات الهندسة العكسية.

يعمل Olymp Loader كمجموعة أدوات متعددة الاستخدامات، تشمل التحميل، والتشفير، وسرقة البيانات، مما يقلل بشكل كبير من حاجز الدخول للمهاجمين الذين يسعون لتطبيق تقنيات التخفي وروتينات العدوى المعقدة.

وسرعان ما اكتسبت هذه البرمجية الخبيثة سمعة “قابلة للكشف بالكامل” (FUD)، مع معدلات اكتشاف منخفضة للغاية على منصة VirusTotal.

ينتشر olymp loader عبر حملات الهندسة الاجتماعية، وغالباً ما يتقمص شكل برامج شرعية مثل PuTTY، Zoom، أو Node.js التنفيذية، ويستضيفها على منصات مثل GitHub.

تقوم هذه الأساليب المخادعة بخداع المستخدمين لتشغيل الكود الضار، مما يبدأ سلسلة العدوى على جهاز الضحية.

وتزيد مسألة استضافة الأصول الخبيثة على منصات ذات سمعة جيدة مثل GitHub من تعقيد عملية الكشف، حيث غالباً ما تبدو حركة مرور الشبكة إلى هذه المواقع مشروعة لأجهزة الأمان.

وقد اكتشف محللو الأمن في Picus Security أن Olymp Loader يقوم بتوصيل حمولات خطيرة بشكل متكرر مثل LummaC2 وRaccoon Stealer.

وأشاروا إلى التطور السريع لهذه البرمجية الخبيثة، خاصة تحولها الاستراتيجي في أوائل أغسطس من بنية الشبكات الروبوتية (botnet) إلى نموذج إسقاط مبسط (dropper).

ويبرز هذا التحول قدرة المطور على التكيف بسرعة مع التحديات التقنية ومتطلبات سوق مجتمع المجرمين الإلكترونيين.

تطور olymp loader لتعزيز التخفي

بعد إعادة هيكلة كبيرة في 3 أغسطس 2025، قدم Olymp Loader آليات متقدمة لمكافحة التحليل لضمان نجاح العدوى.

تقوم البرمجية الخبيثة الآن بتضمين الحمولات المشفرة مباشرة في الجزء التنفيذي (stub)، وتنفيذها فقط بعد تحييد الدفاعات المحلية.

يُعد التعطيل الإجباري لـ Windows Defender مكوناً رئيسياً لاستراتيجية التهرب هذه.

حيث تقوم البرمجية بتنفيذ أوامر PowerShell محددة لـ “تعمية” المراقبة في الوقت الفعلي واستبعاد المسارات من الفحص.

على سبيل المثال، تستخدم الأمر التالي لتحقيق ذلك:

powershell -NoProfile -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

وبعد ذلك، تقوم البرمجية الخبيثة بإسقاط ملفات تنفيذية في المجلد المؤقت (Temp) وتستفيد من أداة “Defender Remover”.

تتضمن هذه العملية استخدام PowerRun.exe لتطبيق تعديلات على سجل النظام (registry) عبر ملفات مثل RemoveDefender.reg وحذف ملفات النظام الحيوية مثل SecurityHealthSystray.exe.

كما تستهدف مجلد WinSxS لحذف خرائط الملفات المرتبطة بـ Defender.

يضمن هذا الإلغاء العدواني لقدرات الدفاع تشغيل الحمولات دون عوائق من حلول الحماية الطرفية المثبتة على المضيف.

واستمرت التكتيكات في التغير بعد أيام؛ حيث لاحظ المحللون عينات في 10 أغسطس تستبدل أوامر التعطيل الصريحة بقوائم استبعاد واسعة للمجلدات، تغطي مواقع مثل %APPDATA% و%DESKTOP%.

يُبرز هذا التطور المستمر قدرة olymp loader على تجاوز ضوابط الأمان القياسية بفعالية وبشكل خفي.