كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين عبر مواقع احتيالية تقلد صفحة التحميل الرسمية لبرنامج FileZilla. تهدف هذه الحملة إلى نشر برامج وصول عن بعد (RAT) للمتسللين، مما يعرض بيانات المستخدمين وأنظمة الكمبيوتر للخطر.
قام المهاجمون بتصميم هذه المواقع الاحتيالية لتبدو مطابقة تمامًا لصفحة FileZilla الأصلية، بهدف خداع المستخدمين وحثهم على تنزيل ملفات مثبت خبيثة. الهدف الأساسي هو اختراق أنظمة ويندوز بصمت، بينما يعتقد الضحايا أنهم يقومون بتثبيت برنامج FTP مألوف وموثوق.
تتضمن هذه الهجمة دمج نسخة شرعية من FileZilla مع ملف DLL خبيث مخفي، يتم توزيعه عبر نطاق وهمي تم بناؤه ليبدو مشابهًا لموقع FileZilla الحقيقي. وبحسب محللي EST Security، فإن هذه العملية منسقة وتتبعها جهة تهديد محددة.
عندما يقوم المستخدم بتنزيل الحزمة وتشغيلها، يتابع التثبيت العادي دون مشاكل، بينما يتم تنفيذ التعليمات البرمجية الضارة المخفية بهدوء في الخلفية دون أي علامة مرئية على الإصابة.
حملة برمجيات خبيثة تستهدف FileZilla
حدد محللو EST Security هذه الحملة بعد تحليل عينات برمجيات خبيثة من نظام الكشف عن التهديدات الخاص بهم، مؤكدين أنها عملية نشطة ومنسقة.
طرق التوزيع المتنوعة
تأكد المحللون من وجود تنسقين مختلفين للتوزيع خلال التحقيق. في التنسيق الأول، تم توزيع FileZilla 3.69.5 Portable داخل أرشيف مضغوط يحتوي على ملف DLL خبيث باسم version.dll.
عندما يقوم المستخدم باستخراج وتشغيل الملف التنفيذي لـ FileZilla، تقوم ويندوز بتحميل ملف DLL الضار قبل أي مكتبة شرعية. تُعرف هذه التقنية باسم “تحميل DLL جانبي” (DLL sideloading)، وهي تستغل ترتيب تحميل DLL الافتراضي في ويندوز.
في المتغير الثاني، قام المهاجم بتعبئة كل من المثبت الحقيقي لـ FileZilla وملف DLL الخبيث في ملف تنفيذي واحد. أثناء التثبيت، يتم إسقاط ملف DLL بصمت في المجلد ويتم تحميله في كل مرة يبدأ فيها FileZilla.
الحمولة النهائية لهذا الهجوم هي برمجية وصول عن بعد (RAT) تعمل بكامل طاقتها. بمجرد تنشيطها على نظام الضحية، تسمح للمهاجمين بسرقة بيانات الاعتماد المخزنة في متصفحات الويب، وتسجيل كل ضغطة مفتاح، والتقاط لقطات شاشة مباشرة لسطح المكتب، والتحكم في الجهاز.
يتيح هذا التحكم عبر جلسة سطح مكتب افتراضية مخفية باستخدام تقنية HVNC (Hidden Virtual Network Computing) للمهاجمين تنزيل المزيد من البرمجيات الخبيثة والتنقل داخل الأنظمة الداخلية دون أي نشاط مشبوه يظهر على شاشة الضحية.
هذه الحملة مقلقة بشكل خاص لأنها لا تستغل أي ثغرة في البرامج. بل تعتمد كليًا على الهندسة الاجتماعية، وهي إقناع المستخدمين بتشغيل ما يبدو كتحميل عادي للبرامج. هذا يجعل إدارة التحديثات التقليدية غير فعالة ضد هذا التهديد، تاركًا وعي المستخدم وعادات التحميل الآمن كخط الدفاع الأساسي.
بنية حملة التنزيل متعددة المراحل والتخفي من C2
بمجرد تحميل ملف DLL الخبيث، فإنه لا يقوم بتسليم حمولة RAT على الفور. بدلاً من ذلك، يبدأ سلسلة من أربع مراحل تحميل متتالية، حيث تقوم كل مرحلة بفك تشفير المرحلة التالية وتشغيلها بالكامل داخل ذاكرة النظام، دون كتابة أي ملف مشبوه على القرص.
هذا التصميم متعدد الطبقات يجعل من الصعب على أدوات الأمان التقاط الحمولة النهائية، حيث توجد كل مرحلة لفترة وجيزة فقط في الذاكرة وتترك أثرًا ضئيلاً على نظام الملفات.
للتواصل مع خوادم القيادة والتحكم (C2)، تستخدم البرمجية الخبيثة بروتوكول DNS-over-HTTPS، حيث ترسل طلبات HTTPS مشفرة إلى محلل Cloudflare العام (1.1.1.1) للبحث عن نطاق C2 welcome.supp0v3.com. وهذا يخفي استعلام DNS الضار داخل حركة HTTPS العادية، متجاوزًا مرشحات المنفذ 53 وأدوات مراقبة DNS التي تعتمد عليها فرق الأمان.
يكشف تحليل بيانات C2 بصيغة JSON أيضًا عن معلمات تتبع بأسلوب UTM، مما يدل على أن المهاجم يتتبع بشكل منهجي مصادر العدوى ويدير مجموعات الضحايا. قبل نشر حمولتها، تقوم البرمجية الخبيثة بفحص المضيف المصاب بحثًا عن مؤشرات الأجهزة الافتراضية وبيئات الاختبار.
تتحقق من تفاصيل الشركة المصنعة للـ BIOS، والعمليات النشطة، وبرامج التشغيل المحملة، وقيم السجل مقابل قائمة مدمجة بتوقيعات البيئات الافتراضية المعروفة. عند العثور على أي علامات لبيئة اختبار، يتم حجب الحمولة، مما يمنع تحليل البرمجية الخبيثة في بيئة خاضعة للرقابة.
يجب على المستخدمين دائمًا تنزيل البرامج مباشرة من المواقع الرسمية للمشاريع وتجنب البوابات الخارجية أو روابط التنزيل غير المألوفة. يجب على فرق الأمان مراقبة حركة HTTPS الموجهة إلى محللات DNS العامة ونشر أدوات الكشف عن سلوك نقطة النهاية لتحديد نشاط حمولة التحميل التي تعمل في الذاكرة وتتجاوز الفحص الأمني المستند إلى الملفات.