اكتشف باحثون أمنيون حملة برمجيات خبيثة متطورة ومتعددة المراحل تستهدف أنظمة ويندوز عبر الهندسة الاجتماعية وخدمات الحوسبة السحابية المسلحة، مما يمثل تهديداً جديداً للأمن الرقمي.
تعتمد هذه الحملة على وثائق تحمل طابعاً تجارياً كمدخلات مخادعة، تجذب المستخدمين لاستخراج أرشيفات مضغوطة تحتوي على اختصارات خبيثة تقوم بتنفيذ أوامر PowerShell في الخلفية. ومع ذلك، فإن الهدف النهائي لتلك الأوامر هو تعطيل برامج الحماية المعروفة قبل تحميل حمولات ضارة.
من جهة أخرى، أشار الباحثون إلى أن هذه الحملة تمثل تطوراً مقلقاً في الأساليب الهجومية، حيث يتجنب المهاجمون استغلال الثغرات البرمجية تماماً، بل يعتمدون على إساءة استخدام وظائف نظام التشغيل الأصلية والأدوات الإدارية المدمجة ومنصات السحابة العامة للبقاء غير مكتشفين ضمن حركة مرور الشبكة العادية.
حملة البرمجيات الخبيثة تضرب أنظمة ويندوز
تبدأ العدوى بملف اختصار مخادع (LNK) يتم تقديمه على أنه مستند محاسبة قياسي. عند تشغيله، يقوم هذا الملف بتشغيل PowerShell باستخدام آلية لتجاوز سياسات التنفيذ، ثم يقوم بتنزيل برنامج تحميل أولى مشفر من خدمة GitHub. في المقابل، يسعى البرنامج إلى فرض سيطرته على النظام.
يعمل برنامج التحميل هذا على إنشاء آلية استمرارية للهجوم، ويقوم بإنشاء وثائق وهمية لتشتيت انتباه المستخدمين، ويبدأ بالتواصل مع المهاجم عبر واجهة برمجة تطبيقات Telegram Bot للتأكد من نجاح الاختراق. يتضح هنا الاعتماد على خدمات خارجية لتسهيل العمليات الخبيثة.
من جانبها، حددت شركة Fortinet، وهي إحدى الشركات الرائدة في مجال الأمن السيبراني، هذه البرمجية الخبيثة بعد اكتشاف آليات التخفي المتطورة المضمنة في سلسلة الهجوم. وتعد هذه البرمجية الخبيثة مثالاً واضحاً على المخاطر المتزايدة في الفضاء الرقمي.
لعب إساءة استخدام أداة Defendnot دوراً حاسماً في هذه الحملة، وهي أداة بحث صُممت في الأصل لإظهار نقاط ضعف مركز أمان ويندوز. غير أن المهاجمين قاموا بإعادة توظيفها لتعطيل Microsoft Defender بشكل منهجي.
تعطيل Microsoft Defender
يقوم المهاجمون بتسجيل منتج مكافحة فيروسات مزيف، مستغلين افتراضات الثقة في نظام ويندوز لإجبار Defender على الإغلاق التلقائي. هذه الطريقة تسمح لهم بالعمل بحرية أكبر دون قيود الحماية.
تتقدم الحملة عبر أربع مراحل تشغيلية متميزة. بعد تحييد الدفاعات، تنتقل الحملة إلى مرحلة استطلاع البيئة والمراقبة النشطة، حيث تقوم بنشر وحدات التقاط لقطات الشاشة التي تقوم بتسريب أدلة مرئية لنشاط المستخدم. وهذا يشكل تهديداً كبيراً لخصوصية المستخدم.
ثم يقوم المهاجم بتطبيق إجراءات إغلاق شامل للنظام، وتعطيل الأدوات الإدارية، وتدمير آليات الاستعادة، وخطف ارتباطات الملفات لمنع الضحايا من تشغيل التطبيقات المشروعة أو الوصول إلى ملفاتهم الخاصة. هذه المرحلة تمثل تدميراً ممنهجاً للبيئة الرقمية للضحية.
أخيراً، تقوم الحملة بنشر برمجية Amnesia RAT للوصول عن بعد المستمر وسرقة البيانات، مستهدفة بيانات اعتماد المتصفح، ومحافظ العملات المشفرة، والمعلومات المالية الحساسة. تهدف هذه المرحلة إلى تحقيق أقصى قدر من الضرر المالي.
بالتوازي مع ذلك، تقوم برمجية Hakuna Matata ransomware بتشفير ملفات المستخدمين باستخدام الامتداد NeverMind12F، بينما تقوم مكونات WinLocker بفرض قفل كامل للنظام، وتعرض مؤقتات العد التنازلي التي تضغط على الضحايا للتواصل مع المهاجم للتفاوض بشأن الفدية. يوضح هذا التنوع في الأدوات الخبيثة مدى تعقيد التهديد.