كشفت حملة برمجيات خبيثة متطورة عن اكتشاف برنامج proxyware خبيث ينتحل صفة أداة Notepad++ الشهيرة، بهدف اختراق أنظمة المستخدمين.
تستغل هذه الهجمة، التي يشنها الجهة التهديدية Larva-25012، المستخدمين الذين يبحثون عن برامج مقرصنة عبر صفحات إعلانية خادعة ومواقع تنزيل وهمية، مما يشكل تهديداً مباشراً على الأمن السيبراني.
تقوم البرمجيات الخبيثة باختطاف النطاق الترددي للإنترنت الخاص بالضحايا دون موافقتهم، مما يتيح للمهاجمين تحقيق الربح من خلال مشاركة موارد الشبكة مع أطراف خارجية.
هذه الطريقة، المعروفة باسم “proxyjacking” (اختطاف الوكيل)، تشبه في آلية عملها “cryptojacking” (اختطاف العملات المشفرة)، لكنها تركز على استغلال النطاق الترددي للشبكة بدلاً من قوة المعالجة.
تتركز هذه التهديدات بشكل أساسي على الأنظمة في كوريا الجنوبية، حيث يتم التوزيع عبر مواقع تدعي أنها بوابة لتنزيل البرامج المقرصنة.
تستضيف مستودعات GitHub الملفات الضارة، والتي يتم تسليمها إما كملفات تثبيت MSI أو كملفات ZIP تحتوي على مكونات Notepad++ الشرعية مع البرمجيات الخبيثة المخفية.
بعد التنفيذ، تضمن البرمجيات الخبيثة استمرارية عملها عبر إدخالات في مجدول المهام (Task Scheduler) وتنشيط برامج proxyware مثل Infatica و DigitalPulse.
تعمل هذه البرامج بصمت في الخلفية، وتعيد توجيه نطاق بيانات الضحايا لتوليد عائدات للمهاجمين.
حدد محللو ASEC هذه الحملة، مشيرين إلى تطور أساليب المهاجمين لتجنب الكشف.
فقد انتقل الجهة التهديدية من استخدام برمجيات خبيثة مبنية على .NET إلى متغيرات C++ و Python، مستخدماً تقنيات حقن متقدمة تستهدف عملية Windows Explorer.
يعكس هذا التطور إصرار المهاجم على تجاوز الحلول الأمنية والحفاظ على السيطرة على الأنظمة المخترقة.
تبدأ سلسلة العدوى عندما يقوم المستخدمون بتنزيل ما يبدو أنه مثبت Notepad++ من مواقع ويب احتيالية.
ومع ذلك، فإن الحزمة التي تم تنزيلها تحتوي على ملفات DLL ضارة يتم تنفيذها عبر تقنيات التحميل الجانبي لملفات DLL (DLL side-loading).
تقوم البرمجيات الخبيثة بعد ذلك بحقن shellcode في عمليات Windows الشرعية، وتنشيط نصوص PowerShell لتثبيت مكونات إضافية مثل NodeJS أو Python، وإنشاء ملفات تحميل وهمية متعددة.
تتواصل هذه المحملات مع خوادم القيادة والتحكم (C2)، لاسترداد التعليمات وتثبيت وحدات proxyware التي تستغل اتصالات الضحايا بالشبكة.
آلية العدوى واستراتيجية الاستمرارية
تستخدم البرمجيات الخبيثة نوعين أساسيين من التوزيع: Setup.msi و Setup.zip.
يقوم متغير MSI بتثبيت ملف DLL يعتمد على C++ يسجل نفسه في مجدول المهام بالنظام تحت اسم “Notepad Update Scheduler” ويتم تشغيله عبر Rundll32.exe.
.webp.jpeg)
يقوم ملف DLL هذا بحقن shellcode في AggregatorHost.exe، والذي ينشئ برنامج نصي PowerShell يقوم بتثبيت NodeJS وإنشاء ملفات برمجيات خبيثة JavaScript وهمية تُعرف باسم DPLoader.
للحفاظ على التخفي، يقوم البرنامج النصي بتعديل سياسات Windows Defender عن طريق إضافة مسارات استثناء، وتعطيل الإشعارات الأمنية، ومنع إرسال عينات البرامج الضارة.
 registered in the Task Scheduler (Source - ASEC).webp.jpeg)
يحتوي متغير ZIP على كل من Setup.exe و loader ضار باسم TextShaping.dll.
عندما يقوم المستخدمون بتشغيل المثبت، يقوم التحميل الجانبي لملف DLL بتنفيذ البرمجيات الخبيثة تلقائياً.
يُقدّم فريقنا تقارير موثوقة وتحليلات متعمقة لمساعدة القراء والمتخصصين على فهم مشهد التهديدات الرقمية عالميًا.