تقنية جديدة لـ .NET Malware تخفي Lokibot في ملفات الصور
كشف باحثون أمنيون عن ظهور تقنية جديدة لاستخدام البرمجيات الخبيثة تعتمد على لغة .NET، تتخذ من ملفات الصور مثل PNG و BMP ستاراً لإخفاء برمجية Lokibot الخبيثة. تستغل هذه الطريقة تقنية إخفاء البيانات “الستيجانوغرافيا” لتجاوز إجراءات الكشف التقليدية، مما يشكل تحدياً إضافياً لأنظمة الأمن السيبراني.
تظهر هذه البرمجية الخبيثة كحامل حمولات متعدد المراحل، قادر على استخلاص وتنفيذ Lokibot من داخل ملفات الصور. تأتي هذه التطورات في سياق حملات هجومية متزايدة تستهدف المؤسسات حول العالم، في محاولة لإيجاد ثغرات جديدة في البنية التحتية الأمنية.
تعتمد هذه التقنية على الفرضية الشائعة بأن ملفات الصور غالباً ما تُعتبر آمنة وغير ضارة من قبل برامج مكافحة الفيروسات وبوابات البريد الإلكتروني. هذا الاعتقاد يمثل نقطة ضعف كبيرة، حيث يتم تقديم البرمجية في البداية عبر رسائل التصيد الاحتيالي أو المواقع المخترقة.
بعد التنفيذ، تقوم البرمجية بجلب ملفات صور تحتوي على حمولات Lokibot مخفية من خوادم بعيدة. يتم تضمين هذه الحمولات عن طريق تعديل بيانات البكسل داخل ملفات الصور، وتحديداً باستخدام قنوات الألوان RGB لتشفير الكود التنفيذي.
وفقاً لباحثي Splunk للأمن، فإن هذه التقنية تمثل تحولاً كبيراً في استراتيجيات التجنب. غالباً ما تعتمد أساليب الكشف التقليدية على بصمات الملفات المشبوهة أو أنماط السلوك، لكن إخفاء البيانات بالستيجانوغرافيا داخل الصور يتجاوز هذه الدفاعات.
يكشف هذا النهج عن مدى التطور التقني الذي يتمتع به المهاجمون. تقوم البرمجية الخبيثة، بمجرد نشرها، بسرقة المعلومات الحساسة وبيانات الاعتماد من الأنظمة المصابة، مستهدفة سجلات المتصفحات وكلمات المرور المحفوظة وتفاصيل المصادقة للتطبيقات.
آلية الإخفاء والستيجانوغرافيا
تكمن براعة هذه التقنية في قدرتها على إخفاء الكود التنفيذي ضمن ملفات تبدو سليمة وغير ضارة. تحتوي البرمجية التي تم تطويرها بلغة .NET على ملفات PNG و BMP مضمنة داخل قسم الموارد الخاص بها.
تم تصميم هذه الملفات الصورية خصيصاً لتحمل حمولة Lokibot مشفرة عبر قيم بكسلات متعددة. تستفيد عملية التشفير من تنسيق ألوان ARGB، حيث تحتوي كل بكسل على بيانات ألفاء (Alpha) والأحمر (Red) والأخضر (Green) والأزرق (Blue).
يقوم المهاجمون بتعديل قيم هذه القنوات لحمل بايتات مشفرة من الملف التنفيذي الأصلي. يتم استخلاص قيم البكسلات الفردية، وتحويلها إلى تسلسلات سداسية عشرية، ثم إعادة تجميع هذه البايتات لتشكيل وحدة PE كاملة.
غالباً ما يكون الملف المستخلص ملف DLL، مثل “captive.dll”، الذي يعمل كقناة وسيطة تقوم بفك تشفير وتنفيذ برمجية Lokibot النهائية. هذا النهج المتشعب يعني أنه يجب على أدوات الأمن تجاوز طبقات متعددة من التشفير والتشفير للوصول إلى التهديد الفعلي.
تتميز هذه التقنية بقدرتها على توزيع البرمجيات الخبيثة باستخدام ملفات لا تخضع لتحليل المحتوى، وتجتاز فحوصات أنواع الملفات، وتتجاوز مرشحات البوابة المصممة للكشف عن طرق التسليم التقليدية.