تكشف حملة تصيد احتيالي متطورة عن استخدام الجهات الخبيثة للذكاء الاصطناعي في توليد عروض عمل وهمية، بهدف نشر برمجيات خبيثة من نوع PureRAT. تم اكتشاف هذه الحملة التي تستغل ضعف الثغرات الأمنية للموظفين حول العالم، بهدف الوصول إلى شبكات الشركات.
بدأت هذه الهجمات عبر رسائل بريد إلكتروني تبدو كعروض عمل حقيقية من شركات معروفة. تحتوي هذه الرسائل على ملفات مضغوطة (ZIP) بأسماء تتعلق بالتوظيف، مثل “New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip” أو “Salary and Benefits Package.zip”.
عند فتح هذه الملفات، تبدأ سلسلة من الإجراءات التي تؤدي إلى تثبيت برنامج PureRAT أو أدوات أخرى خبيثة مثل أدوات الوصول عن بعد إلى الشبكة الافتراضية (HVNC). تستهدف هذه الحملة مجموعة واسعة من المؤسسات عبر قطاعات متعددة، مما يشير إلى أن المهاجمين قد يكونون يبيعون الوصول إلى الشبكات المخترقة بدلاً من تنفيذ تجسس موجه.
تطور هجمات التصيد باستخدام الذكاء الاصطناعي
أظهر تحليل أدوات الهجوم، التي قام به باحثون في سيمانتك، عدة مؤشرات قوية على أن النصوص البرمجية الخبيثة قد تم إنشاؤها باستخدام الذكاء الاصطناعي. تضمنت ملفات الدُفعات (batch files) وشيفرة بايثون (Python code) تعليقات مفصلة باللغة الفيتنامية تشرح كل خطوة، مع تعليمات مرقمة، وحتى رموز تعبيرية في ملاحظات الشفرة – وهي خصائص ترتبط عادةً بالبرمجة التي يولدها الذكاء الاصطناعي.
يُعد هذا المستوى من التوثيق نادراً في البرمجيات الخبيثة المكتوبة يدوياً، مما يجعل المؤلف الذكي واضحاً بشكل خاص. تستخدم الأرشيفات الخبيثة عادةً ملفات تنفيذية شرعية تم إعادة استخدامها لهجمات التحميل الجانبي للـ DLL (DLL sideloading). على سبيل المثال، تُستخدم ملفات مثل “adobereader.exe” أو “Salary_And_Responsibility_Table.exe” لتحميل ملفات DLL ضارة مثل oledlg.dll، msimg32.dll، version.dll، و profapi.dll.
تعمل ملفات DLL هذه كحاملات للحمولة النهائية، مما يضمن استمرارية الهجوم ويحافظ على التخفي طوال عملية الإصابة.
آلية عمل PureRAT لضمان الاستمرارية
بمجرد التنفيذ، يقوم البرنامج النصي الخبيث بإنشاء دليل مخفي ضمن مجلد Google Chrome في نظام ويندوز (%LOCALAPPDATA%Google Chrome) لإخفاء وجوده عن المستخدمين. يقوم البرنامج النصي بعد ذلك بإعادة تسمية ملفات تبدو عادية مثل “document.pdf” و “document.docx” إلى تنسيقات أرشيف، ثم يستخرج محتوياتها باستخدام أدوات ضغط مدمجة بكلمة مرور “[email protected]”، وينفذ حمولة تستند إلى بايثون.
تقوم هذه الحمولة بجلب شيفرة خبيثة مشفرة بتنسيق Base64 من خوادم القيادة والتحكم (command-and-control servers) التي يديرها المهاجمون. لضمان الوصول طويل الأمد، يضيف البرنامج الضار نفسه إلى مفتاح تشغيل السجل في ويندوز (Windows Registry Run key) تحت اسم “ChromeUpdate”، مما يضمن تنفيذه تلقائياً في كل مرة يبدأ فيها تشغيل النظام.
بعد تأسيس الثبات، يفتح البرنامج النصي مستند PDF شرعي من الدليل المخفي لخداع الضحايا للاعتقاد بأنهم فتحوا ملفاً عادياً. تقلل هذه التقنية من الشكوك وتسمح للبرنامج الخبيث بالعمل دون اكتشاف أثناء سرقة البيانات أو توفير الوصول عن بعد إلى النظام المخترق.
ويشير الأصل الفيتنامي للجهات التهديدية إلى ما هو أبعد من اللغة المستخدمة في تعليقات الشفرة. فإن كلمات المرور التي تحتوي على نطاقات “@dev.vn” وحسابات GitLab بأسماء مستخدمين فيتنامية تعزز هذه النسبة. تقوم منتجات Symantec Endpoint حاليًا بالكشف عن الملفات الخبيثة المحددة وحظرها، مما يوفر حماية ضد حملة التهديد المتطورة هذه.