كشفت تقارير أمنية حديثة عن ظهور برنامج التجسس OysterLoader، وهو برمجية خبيثة معقدة تستخدم تقنيات متعددة للتخفي وتجنب الكشف، مما يشكل تهديداً متزايداً للأمن السيبراني. تم اكتشاف هذا البرنامج الخبيث لأول مرة في يونيو 2024، وهو يستخدم لغة C++ ويتخذ شكلاً جديداً من أشكال البرمجيات الخبيثة التي تهدف إلى اختراق الأنظمة.
تنتشر هذه البرمجية الخبيثة بشكل أساسي عبر مواقع ويب وهمية تقلد تطبيقات شرعية مثل PuTTy و WinSCP و Google Authenticator، بالإضافة إلى أدوات الذكاء الاصطناعي. يتنكر البرنامج الخبيث في شكل ملفات تثبيت Microsoft Installer (MSI)، وغالباً ما تكون هذه الملفات موقعة رقمياً لتبدو شرعية، مما يزيد من صعوبة تمييزها للمستخدمين غير المتيقظين.
آلية انتشار OysterLoader وتأثيرها
يعمل برنامج التجسس OysterLoader عبر سلسلة إصابة معقدة تتكون من أربع مراحل، تبدأ بحزمة TextShell، وتنتقل إلى تنفيذ shellcode مخصص، وتنتهي بتسليم الحمولة الخبيثة الأساسية. وقد تم ربط هذا البرنامج الخبيث بشكل أساسي بحملات برامج الفدية Rhysida، على الرغم من أن الباحثين الأمنيين لاحظوا أيضاً توزيعه لبرمجيات خبيثة شائعة أخرى مثل Vidar، وهو أحد برامج سرقة المعلومات الأكثر انتشاراً.
ويشير الارتباط بمجموعة برامج الفدية Rhysida، التي ترتبط ارتباطاً وثيقاً بـ WIZARD SPIDER، إلى خطورة هذا التهديد المتزايد. يمتلك برنامج التجسس OysterLoader بنية تحتية لقيادة السيطرة تتكون من مستويين، حيث تتولى خوادم التوزيع الاتصالات الأولية، بينما تدير خوادم القيادة والسيطرة النهائية تفاعلات الضحايا.
تقنيات التخفي المتقدمة
يُظهر البرنامج الخبيث قدرات متقدمة لمكافحة التحليل، بما في ذلك تقنيات مثل “API hammering” وحل واجهات برمجة التطبيقات ديناميكياً من خلال خوارزميات التجزئة المخصصة، بالإضافة إلى اكتشاف البيئات الافتراضية القائمة على التوقيت. وقد قام المطورون بتطوير شفرة البرنامج الخبيث باستمرار، وتحديث بروتوكولات الاتصال وتقنيات التعتيم للحفاظ على فعاليته ضد الحلول الأمنية.
تُظهر عملية الإصابة براعة تقنية ملحوظة في طريقة إخفاء برنامج التجسس OysterLoader ونشر مكوناته الخبيثة. بعد التحقق من البيئة الأولية، الذي يؤكد أن النظام المصاب يحتوي على 60 عملية قيد التشغيل على الأقل، يبدأ البرنامج الخبيث في الاتصال بخوادم القيادة والسيطرة عبر HTTPS.
خلال هذه المرحلة، يستخدم البرنامج الخبيث تقنية إخفاء البيانات (steganography) لإخفاء الحمولة التالية ضمن ملفات الصور الأيقونية، مما يجعل الشفرة الخبيثة تبدو كمحتوى مرئي شرعي. يستخدم البرنامج الخبيث تشفير RC4 بمفتاح ثابت لحماية الحمولة المضمنة داخل هذه الملفات. يتم إخفاء هذه الحمولة بعد نمط علامة محدد يسمى “endico”، مما يجعل الكشف عنها عبر أدوات الأمن التقليدية صعباً للغاية.
بمجرد فك تشفير الحمولة، يتم كتابتها كملف DLL في دليل AppData الخاص بالمستخدم وتنفيذها من خلال المهام المجدولة التي تعمل كل 13 دقيقة، مما يضمن الوصول المستمر إلى الأنظمة المخترقة. يتواصل البرنامج الخبيث باستخدام ترميز JSON مخصص مع أبجدية Base64 غير قياسية وقيم تحويل عشوائية، مما يجعل تحليل حركة مرور الشبكة صعباً بشكل خاص لفرق الأمن التي تراقب البيئات المصابة.