ظهرت برمجية خبيثة جديدة تُعرف باسم Kiss Loader كتهديد متزايد، مستخدمة تقنيات متقدمة لتطفل على أنظمة ويندوز دون إثارة الإنذارات. تم رصد هذه البرمجية لأول مرة في بداية شهر مارس، وتشير إلى بداية حملة هجومية مدروسة كانت لا تزال قيد التطوير عندما اكتشفها باحثون.
تنتشر Kiss Loader عبر ملف اختصار من نوع Windows Internet Shortcut، يتم تقديمه ليبدو وكأنه مستند PDF. عند النقر عليه، يتصل النظام بصمت بخادم خارجي مستضاف عبر نفق TryCloudflare، وهي خدمة شرعية تسمح بإنشاء اتصالات إنترنت مؤقتة دون الحاجة إلى اسم نطاق مسجل.
KISS LOADER: تكتيكات جديدة في عالم البرمجيات الخبيثة
شكل اكتشاف Kiss Loader مفاجأة لخبراء في شركة G DATA للأمن السيبراني، حيث لم يتم ملاحظة هذه البرمجية من قبل في هذا السياق. تشير الأدلة إلى أن المهاجم كان لا يزال يعمل على تطوير الأداة البرمجية عند اكتشافها، حيث وجدت أدلة تكشف عن إمكانية الوصول المفتوح إلى مستودع WebDAV المستخدم لتوزيع الحمولة.
تبدأ البرمجية عند دخولها إلى النظام المصاب بعملية إصابة متعددة المراحل. يتم وضع ملف ثبات في مجلد بدء التشغيل الخاص بويندوز لضمان تشغيل البرنامج الضار تلقائيًا مع كل إعادة تشغيل للنظام. في الوقت نفسه، يتم عرض مستند PDF مزيف على الشاشة لإبقاء المستخدم بعيدًا عن الشبهات.
تقوم مكونات إضافية بتنزيل حمولات خبيثة بصمت في الخلفية. تحتوي الحزمة التي تصل إلى النظام على حمّالة مكتوبة بلغة بايثون تقوم بفك تشفير الحمولات باستخدام مفاتيح موجودة في ملفات تكوين بصيغة JSON، مما يحافظ على إخفاء الشفرة الخبيثة حتى المرحلة النهائية.
تم اكتشاف حمولتين حتى الآن: VenomRAT، وهي أداة وصول عن بعد تشبه AsyncRAT، وملف محمي بـ .NET Reactor تم تحديده على أنه Kryptik.
التفاعل المباشر مع المهاجم
من أبرز ما ميز هذا الاكتشاف هو التفاعل المباشر الذي حدث بين أحد المحللين والمهاجم. أثناء تحليل بيئة معزولة، ترك باحث من G DATA رسالة في برنامج Notepad يسأل فيها عما إذا كان مؤلف البرمجية الخبيثة هو الشخص المتواجد على الطرف الآخر. وبعد حوالي ساعة، جاء الرد من المهاجم، مؤكدًا وجود فعلي على الجهاز المخترق ومقرًا بأن تقنية Early Bird APC injection تم تضمينها عمدًا في الحمّالة.
تقنية Early Bird APC Injection: آلية تفادي كشف Kiss Loader
تعد تقنية Early Bird APC injection العنصر الأساسي في استراتيجية تفادي الكشف التي تعتمد عليها Kiss Loader. تعمل هذه التقنية على إيصال الحمولة الخبيثة ضمن عملية نظام ويندوز شرعية، مما يجعل من الصعب اكتشافها.
تستهدف البرمجية الخبيثة ملف `explorer.exe`، وهو عملية نظام موثوقة، لتمتزج مع الأنشطة العادية وتتجنب إثارة التنبيهات الأمنية. تقوم Kiss Loader بتشغيل `explorer.exe` في حالة تعليق، مما يعني أن العملية تبدأ ولكنها تنتظر قبل تنفيذ أي مهام طبيعية.
بعد ذلك، تخصص البرمجية مساحة ذاكرة داخل العملية وتكتب فيها الشفرة الخبيثة بعد فك تشفيرها. بدلًا من إنشاء خيط جديد، وهو أسلوب تراقب أدوات الأمان باستمرار، تقوم البرمجية بإدراج استدعاء لـ Asynchronous Procedure Call (APC) في الخيط الأساسي للعملية المعلقة.
عند استئناف التنفيذ، يتم تشغيل APC أولًا، مما يسمح بتنفيذ الشفرة الخبيثة قبل أن تبدأ عملية Explorer بعملها الطبيعي، كل ذلك ضمن سياق عملية موثوقة.
تم بناء الشفرة الخبيثة باستخدام Donut، وهي أداة مفتوحة المصدر تحول تجميعات .NET إلى شفرة في الذاكرة فقط، مما يعني عدم ترك أي آثار على القرص الصلب، وهذا يجعل اكتشافها بواسطة برامج مكافحة الفيروسات التقليدية أكثر صعوبة.
ينصح المستخدمون بتجنب فتح ملفات `.url` من مصادر غير موثوقة، حيث يمثل هذا المدخل الرئيسي لـ Kiss Loader. كما ينبغي لفرق الأمن تكوين حلول الكشف والاستجابة (EDR) للكشف عن حقن APC التي تستهدف عمليات مثل `explorer.exe`، ومراقبة الاتصالات الصادرة إلى نطاقات TryCloudflare للكشف المبكر عن الاختراقات.
يجب على المسؤولين فرض المصادقة الصحيحة على مجلدات WebDAV لمنع استضافة الحمولات مفتوحة المصدر. الحفاظ على تحديث أنظمة ويندوز والبرامج المثبتة يقلل من التعرض للتقنيات التي تستغل وظائف النظام المدمجة لأغراض ضارة.