كشف تقرير أمني حديث عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين من خلال انتحال هوية برنامج مكافحة الفيروسات الشهير Malwarebytes. تهدف هذه الحملة المضللة إلى خداع الضحايا لتنزيل ملفات زائفة، مما يعرض بياناتهم الحساسة، بما في ذلك بيانات تسجيل الدخول ومحافظ العملات المشفرة، لخطر كبير.
تم اكتشاف هذه العملية النشطة في الفترة بين 11 و 15 يناير 2026، وهي تستخدم ملفات ZIP معدة بعناية لتبدو كأنها مثبتات Malwarebytes شرعية. إن الهدف الأساسي لهذه الحملة هو توزيع برمجيات خبيثة قادرة على سرقة المعلومات، مما يؤدي إلى اختراق الأمن الرقمي والمعلومات الشخصية للمستخدمين.
حملة خبيثة تنتحل شخصية Malwarebytes
تنتشر حملة البرمجيات الخبيثة الجديدة عبر ملفات ZIP تحمل أسماء توحي بأنها تابعة لبرنامج Malwarebytes، مثل “malwarebytes-windows-github-io-X.X.X.zip”. يؤدي هذا التضليل إلى إقناع المستخدمين المطمئنين بأنهم يقومون بتنزيل حماية موثوقة ضد الفيروسات، ولكنهم في الواقع يفتحون الباب أمام المخاطر.
يكشف التحليل الأمني لهذه الملفات عن مزيج خطير من المكونات المصممة لتجاوز الدفاعات الأمنية وإحداث استمرارية للوصول غير المصرح به على الأنظمة المخترقة. عندما يقوم المستخدمون بفك ضغط وتشغيل ما يعتقدون أنه ملف تنفيذي شرعي من Malwarebytes، فإنهم يبدأون عن غير قصد سلسلة من الأحداث الخبيثة.
آلية الهجوم: تحميل DLL الجانبي
تعتمد آلية الهجوم هذه على تقنية خادعة تُعرف باسم “تحميل DLL الجانبي” (DLL sideloading). تستغل هذه التقنية الطريقة التي تقوم بها أنظمة ويندوز بتحميل مكتبات البرامج الشرعية. في هذه الحملة، يتم إخفاء الحمولة الخبيثة داخل ملف يسمى CoreMessaging.dll.
عندما يتم تشغيل الملف التنفيذي الشرعي الخاص بـ Malwarebytes، يقوم نظام التشغيل بتحميل ملف DLL الخبيث هذا بدلاً من مكتبة DLL الأصلية. يقوم المهاجمون بوضع كل من DLL المزيف والملف التنفيذي الشرعي في نفس المجلد، مما يخدع نظام ويندوز لتنفيذ البرمجيات الخبيثة دون إثارة الشك.
تتميز ملفات DLL الخبيثة ببيانات وصفية مميزة، بما في ذلك سلاسل التوقيع مثل “© 2026 Eosinophil LLC” ووظائف تصدير غير عادية تحتوي على تسلسلات أبجدية رقمية. تسمح هذه الخصائص للباحثين الأمنيين بالبحث عن عينات مرتبطة وتتبع الحملة الأوسع نطاقاً.
بمجرد تنفيذ DLL الخبيث، يقوم بإنزال برامج سرقة معلومات من المرحلة الثانية تستهدف بشكل خاص معلومات محافظ العملات المشفرة وبيانات اعتماد المتصفح المخزنة. هذا يتيح للمهاجمين ارتكاب سرقة الهوية وسرقة العملات المشفرة.
وفقًا للمحللين في VirusTotal، تم تحديد هذه البرمجيات الخبيثة بعد فحص أنماط الإصابة وهياكل الملفات. لوحظ أن جميع أرشيفات ZIP المشبوهة تشترك في معرف ثابت يُعرف بقيمة “behash” وهي “4acaac53c8340a8c236c91e68244e6cb”.
تشير هذه المعلومات إلى أن المهاجمين يطورون باستمرار طرقًا جديدة لخداع المستخدمين. يؤكد هذا الاكتشاف على الحاجة الملحة لزيادة الوعي الأمني لدى المستخدمين وتوخي الحذر الشديد عند تنزيل البرامج، خاصة تلك المتعلقة بالحماية والأمان.