استهدف مجرمو الإنترنت محبي الأفلام الذين يبحثون عن أحدث الأعمال السينمائية عبر الإنترنت، مستغلين شعبية فيلم ليوناردو دي كابريو الجديد “One Battle After Another” لنشر برمجيات خبيثة خطيرة تُعرف باسم “Agent Tesla”.
يبدأ الهجوم بملف وهمي يشبه تحميل فيلم، لكنه في الواقع يحتوي على سلسلة من نصوص PowerShell المخفية التي تقوم بتثبيت حصان طروادة للوصول عن بعد على أجهزة ويندوز.
تمنح هذه البرمجيات الخبيثة المهاجمين سيطرة كاملة على الأجهزة المصابة، مما يسمح لهم بسرقة المعلومات الشخصية والمالية.
وصل ملف التورنت المزيف هذا بالفعل إلى آلاف المستخدمين. عند تنزيل ما يبدو أنه فيلم، يجد المستخدم مجلدًا يحتوي على عدة ملفات تبدو طبيعية.
لكن، النقر على ملف اختصار باسم “CD.lnk” يبدأ عملية هجوم معقدة تعمل بالكامل في الخلفية دون علم المستخدم.
تستخدم البرمجيات الخبيثة أدوات ويندوز شرعية مثل CMD و PowerShell و Task Scheduler لإخفاء أنشطتها وتجنب اكتشافها من قبل برامج الحماية.
كيف ينتشر برمجيات Agent Tesla الخبيثة عبر أفلام دي كابريو
حدد باحثو الأمن السيبراني في Bitdefender هذا التهديد بعد ملاحظة زيادة غير عادية في الاكتشافات المتعلقة بملف تورنت الفيلم.
كشفت تحقيقاتهم عن طريقة هجوم مصممة بعناية تستخدم طبقات متعددة من التشفير والنصوص البرمجية المخفية داخل ما يبدو أنه ملفات ترجمة وصور عادية.
تعمل العملية بأكملها في الذاكرة، مما يعني عدم كتابة أي ملفات مشبوهة على القرص الصلب، وهذا يجعل من الصعب للغاية على أدوات الأمان التقليدية اكتشافها.
يبدأ التسلل عندما يفتح المستخدمون ملف “CD.lnk”، معتقدين أنه سيشغل الفيلم. بدلًا من ذلك، يقوم هذا الملف بتشغيل أمر مخفي يقرأ أسطرًا محددة من ملف ترجمة باسم “Part2.subtitles.srt”.
تحتوي هذه الأسطر على كود دفعي يشغل نصوص PowerShell. الجزء الذكي هو أن ملف الترجمة يحتوي بالفعل على ترجمات الأفلام الحقيقية، لكن الأسطر من 100 إلى 103 تخفي الكود الخبيث الذي يبدأ كل شيء.
مراحل الهجوم المتعددة
تستخرج أوامر PowerShell وتفك تشفير البيانات المشفرة من نفس ملف الترجمة. باستخدام تقنيات تشفير AES، تقوم البرمجيات الخبيثة بإنشاء خمسة نصوص PowerShell منفصلة في مجلد مخفي في المسار “C:Users\AppDataLocalMicrosoftDiagnostics”.
كل نص برمجي له مهمته الخاصة في سلسلة الهجوم. النص الأول يقوم باستخراج المحتوى من ملف فيديو وهمي باسم “One Battle After Another.m2ts”، وهو في الواقع أرشيف مموه.
يتحقق النص البرمجي من أدوات الاستخراج الشائعة مثل WinRAR أو 7-Zip أو Bandizip ويستخدم أيًا منها متاح. يقوم نص برمجي آخر بإنشاء مهمة مجدولة باسم “RealtekDiagnostics” تدعي أنها برنامج مساعد للصوت.
يضمن هذا تشغيل البرمجيات الخبيثة تلقائيًا في كل مرة يبدأ فيها تشغيل الكمبيوتر أو عند تسجيل دخول المستخدم. تظل المهمة مخفية وتستخدم عمليات ويندوز العادية لتجنب الشك.
في الوقت نفسه، تقوم نصوص برمجية أخرى بفك تشفير البيانات المخفية من ملفات صور وهمية باسم “Photo.jpg” و “Cover.jpg”، والتي تحتوي في الواقع على بيانات ثنائية وأرشيفات إضافية محمية بكلمات مرور بسيطة.
تقوم المرحلة النهائية بتجميع وتشغيل حمولة Agent Tesla مباشرة في الذاكرة. حصان طروادة هذا للوصول عن بعد يقيم اتصالًا مع خوادم يتحكم بها المهاجمون، محولًا الكمبيوتر المصاب إلى جهاز آلي يمكن استخدامه لسرقة بيانات الاعتماد، أو شن المزيد من الهجمات، أو نشر برمجيات خبيثة إضافية.
يوضح هذا العمل بأكمله كيف يستخدم المهاجمون النصوص البرمجية متعددة المراحل والتنفيذ دون ملفات لتجاوز إجراءات الأمان والحفاظ على وصول طويل الأمد إلى أنظمة الضحايا.