يكتشف خبراء الأمن السيبراني حملة تجسسية جديدة تستغل أدوات الذكاء الاصطناعي (AI) وبرامج تحسين الإنتاجية للتسلل ببرمجيات خبيثة، مما يهدد المنظمات حول العالم. هذه التقنية الجديدة، التي أطلق عليها اسم “EvilAI”، تعمل على خداع المستخدمين والأنظمة الأمنية عبر إيهامهم بأنها برامج شرعية.
وفقاً لتقرير صادر عن شركة “تريند مايكرو” للأمن السيبراني، فإن هذه الحملة تعتمد على أدوات تبدو بريئة، سواء كانت لزيادة الإنتاجية أو تعزيز القدرات باستخدام الذكاء الاصطناعي، كوسيلة فعالة لتوصيل برمجيات خبيثة تستهدف قطاعات واسعة في مناطق متعددة تشمل أوروبا والأمريكتين وآسيا والشرق الأوسط وأفريقيا.
حملة EvilAI: تكتيكات جديدة لتهديدات متطورة
تُظهر حملة EvilAI مستوى عالياً من التطور والقدرة لدى الجهات الفاعلة في مجال التهديدات السيبرانية. فبدلاً من الاعتماد على ملفات البرمجيات الخبيثة الواضحة، تقوم “EvilAI” بانتحال شخصية برامج حقيقية، سواء كانت للتطبيقات أو للمهام اليومية، مما يزيد من صعوبة اكتشافها.
وتستهدف هذه الحملة بشكل خاص قطاعات رئيسية مثل التصنيع، والجهات الحكومية، والرعاية الصحية، والتكنولوجيا، والتجزئة. وقد تم رصد أكبر عدد من الإصابات في دول مثل الهند، والولايات المتحدة، وفرنسا، وإيطاليا، والبرازيل، وألمانيا، والمملكة المتحدة، والنرويج، وإسبانيا، وكندا، مما يؤكد على الطابع العالمي للحملة وانتشارها الواسع.
آلية عمل EvilAI
تعتمد آلية عمل “EvilAI” على خداع المستخدمين وجعل البرامج تبدو شرعية قدر الإمكان. يتم ذلك من خلال عدة طرق، أبرزها استخدام واجهات احترافية وتضمين إمضاءات رقمية صالحة، ما يصعب تمييزها عن البرامج الأصلية.
وتشمل البرامج التي تم توزيعها عبر هذه الطريقة تطبيقات مثل AppSuite، و Epi Browser، و JustAskJacky، و Manual Finder، و OneStart، و PDF Editor، و Recipe Lister، و Tampered Chef. وقد وثقت شركات مثل Expel و G DATA و TRUESEC بالفعل جوانب من هذه الحملة.
الأهداف والتأثير
الهدف الأساسي لحملة “EvilAI” يتجاوز مجرد نشر البرمجيات الخبيثة، حيث يسعى المهاجمون إلى إجراء استطلاع شامل لأنظمة الضحايا، وسرقة بيانات المتصفح الحساسة، والحفاظ على قناة اتصال مشفرة في الوقت الفعلي مع خوادم القيادة والتحكم.
كما تستفيد الحملة من تقنيات انتشار متعددة، بما في ذلك إنشاء مواقع ويب جديدة تحاكي بوابات الموردين، واستخدام الإعلانات الضارة، والتلاعب بنتائج محركات البحث، وترويج روابط التنزيل على المنتديات ووسائل التواصل الاجتماعي. هذا التنوع في أساليب الانتشار يعد جزءاً من استراتيجية مدروسة لزيادة حجم الإصابات.
وتعمل “EvilAI” بشكل رئيسي كـ “مرحلة أولى” (stager)، وهو ما يعني أنها تكتسب الوصول الأولي للنظام، وتؤسس لوجود دائم، وتجهز النظام لاستقبال حمولات إضافية. كما تتخذ خطوات لتعداد البرامج الأمنية المثبتة ومحاولة تعطيل التحليل.
التطورات الأخيرة والتحديات
كشفت تحليلات إضافية أن الجهات الفاعلة وراء برامج مثل OneStart و ManualFinder و AppSuite هي نفسها، وأن البنية التحتية للخوادم مشتركة لتوزيع وتكوين هذه البرامج. وقد استخدم المهاجمون شعار “AI” بشكل متزايد لجذب المستخدمين.
وقد استخدمت بعض الحملات، مثل AppSuite و PDF Editor، على مدى السنوات الماضية أكثر من 26 شهادة توقيع رقمي لشركات وهمية، بهدف جعل برامجها تبدو شرعية. ورغم أن بعض هذه البرامج، مثل BaoLoader، قد تكون مختلفة في السلوك وأنماط الشهادات، إلا أن جميعها يشترك في هدف التسلل.
يُظهر استخدام برمجيات خبيثة مثل TamperedChef، التي تتبعها TRUESEC، تطوراً في آليات التوزيع، حيث يتم عبر استغلال تطبيقات قد تكون غير مرغوبة، وإساءة استخدام التوقيعات الرقمية، ونشر تقنيات تشفير خفية. هذه التكتيكات تسمح للبرمجيات الخبيثة بالاندماج كبرامج شرعية، وتجاوز الدفاعات، واستغلال ثقة المستخدمين.
التحديثات والخطوات المستقبلية
في تحديث حديث، أفادت شركة WithSecure بأن مشغلي AppSuite PDF Editor أصدروا نسخاً “نظيفة” من التطبيق بعد الكشف عن طبيعته الخبيثة. ومع ذلك، استمرت هذه النسخ في الاتصال بخوادم يتحكم بها المهاجمون.
تحول المهاجمون لاحقاً إلى تطبيق وهمي آخر اسمه S3-Forge بعد أن بدأت الدفاعات في رصد ومنع AppSuite PDF Editor. تظهر حملة TamperedChef مستوى عالياً من التخطيط والتنفيذ، حيث حصل المهاجمون على شهادات توقيع رقمي، وطوروا تطبيقات تبدو شرعية، وأطلقوا حملات إعلانية مستهدفة لزيادة التثبيتات.