حملة برمجيات خبيثة جديدة تستهدف مستخدمي برنامج WinRAR الشهير، حيث يتم خداعهم لتنزيل ملفات تثبيت مزيفة تحتوي على برمجيات ضارة. تكشف هذه الحملة عن تكتيكات متطورة يستخدمها المهاجمون للاستفادة من ثقة المستخدمين في أدوات البرامج الشائعة.
تم اكتشاف هذه الحملة بعد ظهور روابط مشبوهة عبر مواقع صينية متعددة، تستهدف المستخدمين الذين يبحثون عن برنامج WinRAR من مصادر غير رسمية. تشكل برامج التثبيت المخادعة هذه تهديدًا كبيرًا لكل من يسعى للحصول على حلول برمجيات سريعة دون التحقق من مصداقية مصادر التحميل.
حملة Winzipper الخبيثة: برامج تثبيت WinRAR المزيفة تحمل تهديدات
يستغل المهاجمون الممارسة الشائعة لتنزيل WinRAR من مواقع طرف ثالث، عن طريق حزم كود خبيث مع مثبت البرنامج الأصلي. تعمل هذه البرمجيات الخبيثة على جمع معلومات عن نظام الضحية، مما يسمح لها بتكييف الحمولة الخبيثة الأكثر فعالية ضد كل جهاز مصاب.
هذا النهج التكيفي يعزز فرص النجاح القصوى عبر تكوينات الحواسيب المختلفة، مما يجعل التهديد خطيرًا بشكل خاص لكل من البيئات الشخصية والتجارية. ويقضي برامج مكافحة البرامج الضارة على هذه التهديدات.
آلية العدوى المعقدة
تُظهر آلية العدوى نظام تسليم معقد متعدد المراحل، مصمم خصيصًا لتجنب الكشف. الملف الأصلي، الذي يحمل اسم winrar-x64-713scp.zip، يحتوي على ملف تنفيذي مضغوط بـ UPX، يستخدم شذوذات مقصودة في هيكلته لتعقيد التحليل.
عند فك ضغط الملف بأدوات متخصصة، يكشف عن برنامجين مضمنين: مثبت WinRAR الشرعي وأرشيف محمي بكلمة مرور يسمى setup.hta. يمثل أرشيف setup.hta المكون الخبيث الفعلي، الذي يبقى مشفرًا حتى وقت التشغيل، ثم يتم فك ضغطه مباشرة في ذاكرة النظام.
هذه التقنية التي تعتمد على المقيم في الذاكرة تمنع طرق الكشف البسيطة المستندة إلى الملفات من تحديد التهديد. خلال التحليل الديناميكي على أنظمة معزولة، اكتشف الباحثون أن الملف يطلق nimasila360.exe، وهو مكون مرتبط بعائلة برامج Winzipper الخبيثة.
بمجرد تثبيته، يعمل Winzipper كحصان طروادة يعمل كباب خلفي، مما يوفر للمهاجمين وصولًا عن بعد إلى الأجهزة المخترقة. تتيح البرمجيات الخبيثة سرقة البيانات، والتحكم غير المصرح به في النظام، وتثبيت حمولات برمجية خبيثة ثانوية، كل ذلك مع الظهور كأداة أرشفة ملفات شرعية. يبقى المستخدمون عادةً غير مدركين للإصابة حتى حدوث ضرر كبير.
المواقع المخترقة والتوصيات الأمنية
تشمل النطاقات المخترقة winrar-tw.com، و winrar-x64.com، و winrar-zip.com، وكلها محظورة حاليًا من قبل أنظمة الحماية التابعة لـ Malwarebytes. يجب على المستخدمين تنزيل WinRAR حصريًا من المصادر الرسمية والحفاظ على حماية حالية من البرامج الضارة لمنع الإصابة من حملات التثبيت المزيفة هذه.