كشفت حملة تجسس إلكتروني جديدة تستخدم برنامج حصان طروادة “أو سي آر فيكس” (OCRFix) عن دمج تقنيات الهندسة الاجتماعية مع بنية تحتية للقيادة والتحكم تعتمد على تقنية البلوك تشين. تهدف هذه الاستراتيجية المبتكرة إلى بناء شبكة واسعة من الأجهزة المخترقة والسيطرة عليها بصمت.
تجمع هذه الحملة بين أسلوب التصيد الاحتيالي المعروف باسم “كليك فيكس” (ClickFix) ومنهجية “إيثر هايدنج” (EtherHiding)، حيث يتم تخزين تعليمات المهاجمين مباشرة على شبكة البلوك تشين العامة، مما يجعل من الصعب للغاية إيقافها.
حملة OCRFix: تهديد جديد بأساليب متطورة
تبدأ الحملة بإنشاء موقع إلكتروني وهمي ينتحل اسم نطاق موقع “تيستراكت-أو سي آر” (tesseract-ocr[.]com) وهو موقع أداة التعرف الضوئي على الحروف مفتوحة المصدر “تيستراكت أو سي آر” (Tesseract OCR). نظراً لأن مشروع “تيستراكت” الأصلي يستضيف على منصة “جيت هاب” ولا يمتلك موقعاً إلكترونياً خاصاً به، فقد شكل هدفاً سهلاً لانتحال اسم النطاق.
إلى جانب استغلال تقنيات تحسين محركات البحث التقليدية (SEO)، استخدمت الحملة أيضاً تقنية تسميم نماذج الذكاء الاصطناعي (LLM poisoning)، حيث لوحظ أن روبوت الدردشة “شات جي بي تي” (ChatGPT) يوصي بشكل نشط بالموقع الضار للمستخدمين غير الحذرين. كما تم اكتشاف فيديو على “يوتيوب” (YouTube) يروج لنفس التعليمات الاحتيالية.
حلل خبراء “سايجاكس” (Cyjax)، الذين اكتشفوا الحملة أثناء مراقبة التهديدات الروتينية، أن الموقع الاحتيالي يعرض للمستخدمين نافذة تدعي التحقق من “كابتشا” (CAPTCHA) زائفة. بمجرد أن ينقر المستخدم على خيار “التحقق”، يتم نسخ أمر “باور شيل” (PowerShell) مشفر سراً إلى حافظة المستخدم.
بعد ذلك، يطلب الموقع من المستخدم فتح “ويندوز باور شيل” (Windows PowerShell) ولصق الأمر، مقدمًا ذلك كخطوة طبيعية للتحقق. في الواقع، يقوم الأمر بفك تشفير نفسه والاتصال بخادم بعنوان “أوب سيك ديف كلاود” (opsecdefcloud[.]com)، مما يؤدي إلى تنزيل ملف “إم إس آي” (MSI) ضار يبدأ سلسلة العدوى.
بعد اكتمال الهجوم، يتم إعادة توجيه الضحايا بهدوء إلى صفحة “تيستراكت” (Tesseract) الأصلية على “جيت هاب” (GitHub)، مما يجعل كل شيء يبدو طبيعياً.
مراحل الإصابة وكيفية عمل البرمجيات الخبيثة
بمجرد تشغيل ملف “إم إس آي”، تنتشر البرمجية الخبيثة على ثلاث مراحل. المرحلة الأولى، “آبديت 1” (Update1.exe)، تعمل كبرنامج تحميل؛ فهي تستعلم عن عقدة “بي إن بي تيست نت” (BNB TestNet) الذكية للحصول على عنوان القيادة والتحكم (C2)، ثم تقوم بتنزيل حزمة “داتا. زيب” (data.zip) من خوادم يتحكم بها المهاجمون.
المرحلة الثانية، “إسيت أب هيلبر” (setup_helper.exe)، تتعامل مع ثبات البرمجية من خلال إنشاء مهمة مجدولة تقوم بتشغيل الحمولة النهائية كل دقيقة بأعلى مستوى صلاحيات، مع إضافة مسارات استثناء لتجاوز برنامج “ويندوز ديفندر” (Windows Defender).
المرحلة الثالثة، “سي إف جي هيلبر” (CfgHelper.exe)، هي مستمع الروبوت؛ فهي تجمع عنوان IP للضحية، واسم نظام التشغيل، واسم الجهاز، ومعرفات فريدة، ثم ترسل هذه البيانات إلى لوحة تحكم الروبوت الموجودة على “إل دي تي يو آر إي” (ldture[.]com). تشير التعليقات المكتوبة باللغة السيريلية في شفرة مصدر اللوحة إلى أن المشغلين قد يكونون روساً، على الرغم من أن هذا لم يتم تأكيده بعد.
تم تصميم الحملة بعناية فائقة للحفاظ على سرية الاختراق لأطول فترة ممكنة. إن مزيج الشرعية الزائفة، وحقن حافظة النسخ، وسلسلة البرمجيات الخبيثة المتعددة المراحل، يجعل من “أو سي آر فيكس” (OCRFix) مثالاً قوياً على كيفية استغلال خدع التصيد الاحتيالي البسيطة لدعم اختراقات مستمرة وصعبة الكشف.
“إيثر هايدنج”: البلوك تشين كقناة قيادة وتحكم
يعد استخدام “إيثر هايدنج” (EtherHiding) لتخزين عناوين القيادة والتحكم (C2) الجزء الأكثر تميزاً من الناحية التقنية في حملة “أو سي آر فيكس” (OCRFix). بدلاً من توجيه البرمجيات الخبيثة إلى خادم تقليدي يمكن لفرق الأمن حجبه، قام المهاجمون بتضمين عناوين URL الخاصة بالقيادة والتحكم الخاصة بهم داخل عقود ذكية على “بي إن بي سمارت تشين تيست نت” (BNB Smart Chain TestNet). تم تحديد ثلاث عناوين عقود منفصلة أثناء التحليل.
عندما كانت كل مرحلة من مراحل البرمجية الخبيثة تحتاج إلى التعليمات التالية، كانت تستعلم عن عقدة البلوك تشين العامة “بي إس سي تيست نت. ببليك نود” (bsc-testnet.publicnode[.]com) لاسترداد عنوان URL المخزن. نظراً لعدم إمكانية إسقاط البلوك تشين نفسها، يمكن للمهاجم تحديث عنوان القيادة والتحكم في أي وقت عن طريق تعديل المتغير المخزن في العقد.
وقد تم ربط هذه التقنية سابقاً بمجموعات التهديد الكورية الشمالية، وظهورها هنا يشير إلى تبني أوسع عبر مجموعات أخرى. توصي المنظمات بتقييد تنفيذ “باور شيل” (PowerShell) للضرورة القصوى، مع تمكين تسجيل كتل الأوامر للكشف عن الأوامر المشفرة. يجب أن تتناول تدريبات الوعي الأمني عروض “كابتشا” (CAPTCHA) الزائفة على غرار “كليك فيكس” (ClickFix)، حتى يفهم الموظفون أنه لا يوجد موقع شرعي سيطلب منهم لصق أوامر “باور شيل” (PowerShell). يجب على أدوات نقاط النهاية تمييز استعلامات WMI غير العادية وإنشاء مهام مجدولة بصلاحيات عالية بشكل غير متوقع. يجب على فرق الشبكات مراقبة الاتصالات الصادرة إلى عقد البلوك تشين العامة، والتي ليس لها غرض تجاري شرعي في معظم البيئات.