أعلنت حملة اختراق عالمية حديثة، تُعرف باسم “TamperedChef”، عن تكتيكاتها الجديدة المتمثلة في استغلال أسماء التطبيقات الشائعة لخداع المستخدمين وتثبيت برامجيات خبيثة تتيح الوصول عن بعد.
تستخدم هذه الحملة المثبتات المزيفة التي تبدو كبرامج يومية مثل قارئات الأدلة، ومحررات PDF، والألعاب، مع تزويدها بشهادات توقيع شفرة صالحة لضمان مظهرها الشرعي.
حملة TamperedChef تثير القلق العالمي
تعتمد الحملة في توزيعها على الإعلانات الضارة وتقنيات تحسين محركات البحث، مما يجعلها سهلة الاكتشاف للمستخدمين الذين يبحثون عن أدوات شائعة أو أدلة منتجات عبر الإنترنت.
يقف وراء حملة “TamperedChef” مشغلون قاموا ببناء عملية ذات نطاق صناعي، مستخدمين شبكة من الشركات الوهمية المسجلة في الولايات المتحدة للحصول على شهادات التحقق الموسعة (Extended Validation).
تسمح هذه الواجهات التي يمكن التخلص منها لممثلي التهديدات بتوقيع تطبيقاتهم المزيفة بشهادات موثوقة، مما يساعدها على تجاوز الدفاعات الأمنية وكسب ثقة المستخدم.
ومع ذلك، بمجرد اكتشاف شهادة أو إلغائها، تقوم الجهات الفاعلة بسرعة بتسجيل شركات وهمية جديدة تحت أسماء عامة مثل “التسويق الرقمي” للحفاظ على استمرارية العمليات وجعل برامجهم الضارة تبدو شرعية.
آلية الإصابة والوصول المستمر
كشف باحثو الأمن في شركة Acronis عن الحملة في يونيو 2025، على الرغم من أن الأدلة تشير إلى وجود نشاط سابق. تتأثر الضحايا في الأمريكتين بشكل أساسي، حيث تركز حوالي 80 بالمائة من الإصابات في الولايات المتحدة، إلا أن البنية التحتية العالمية تشير إلى انتشار واسع بدلاً من تركيز إقليمي مستهدف.
تُظهر قطاعات الرعاية الصحية والبناء والتصنيع تركيزًا عاليًا للإصابات، ويرجع ذلك على الأرجح إلى أن المستخدمين في هذه الصناعات يبحثون بشكل متكرر عبر الإنترنت عن أدلة للمعدات المتخصصة، وهو أحد السلوكيات التي تستغلها حملة “TamperedChef”.
تبدأ سلسلة هجوم البرامج الضارة عندما يقوم المستخدمون بتنزيل تطبيقات مزيفة من مواقع ويب ضارة تظهر في نتائج البحث أو الإعلانات.
بعد التثبيت، يتم إسقاط ملف تكوين XML الذي يستخدم لإنشاء مهمة مجدولة للحفاظ على الوصول. تقوم هذه المهمة بتنفيذ حمولة JavaScript مشفرة كثيفة تعمل كباب خلفي، وتقوم بإنشاء اتصال بخوادم القيادة والتحكم عبر HTTPS.
تقوم حمولة JavaScript بتشفير البيانات باستخدام تشفير XOR بمفتاح عشوائي مكون من 16 بايت قبل ترميزها باستخدام Base64 للإرسال.
آلية الإصابة و آلية الاستمرارية
تتبع عملية إصابة “TamperedChef” سلسلة تنفيذ متعددة المراحل مصممة لتجنب الكشف مع الحفاظ على الوصول المستمر.
عندما يقوم المستخدمون بتنفيذ المثبت الذي تم تنزيله، فإنهم يواجهون نافذة اتفاقية ترخيص قياسية تحاكي تثبيت البرامج الشرعية.
أثناء التثبيت، تضع البرامج الضارة ملفًا باسم “task.xml” إما في الدليل المؤقت للمثبت أو في دليل تثبيت البرنامج في %APPDATA%Programs[Fake Application Name].
يُستخدم ملف XML هذا لإنشاء مهمة مجدولة باستخدام الأمر: schtasks /Create /tn "Scheduled Daily Task" /xml "%APPDATA%LocalProgramsAnyProductManualtask.xml".
يتم تنفيذ المهمة فور إنشائها وتتكرر كل 24 ساعة مع تأخير عشوائي يصل إلى 30 دقيقة.
يسمح هذا التكوين بفترات تشغيل ممتدة، ويمنع تشغيل مثيلات متعددة في وقت واحد، ويقوم تلقائيًا بتشغيل أي جداول فاتت، مما يضمن تنفيذ حمولة JavaScript باستمرار دون إثارة الشكوك.
حمولة JavaScript نفسها مشفرة بشدة باستخدام أدوات من obfuscator.io، مع تطبيق تقنيات متعددة بما في ذلك إعادة تسمية السلاسل والدوال، وتسوية تدفق التحكم، وحقن التعليمات البرمجية الميتة.
بمجرد تشغيله، تبدأ البرامج الضارة في الاتصال بخوادم القيادة والتحكم الثابتة التي تطورت من سلاسل أسماء نطاقات تم إنشاؤها عشوائيًا إلى أسماء نطاقات أكثر وضوحًا لتمتزج مع حركة مرور الشبكة العادية.
تقوم الحمولة بإنشاء معرف جهاز (Machine ID) لتحديد الأجهزة وتقوم بعمليات تسجيل للنظام للاستطلاع.
ترسل البرامج الضارة كائنات JSON مشفرة تحتوي على أسماء الأحداث، ومعرفات الجلسة، ومعرفات الأجهزة، وبيانات وصفية إلى خادم القيادة والتحكم. كما أنها تمتلك قدرات تنفيذ تعليمات برمجية عن بعد، مما يسمح للمهاجمين بتشغيل الأوامر على الأنظمة المخترقة.
تعتمد البنية التحتية للحملة على NameCheap لتسجيل النطاقات مع فترات تسجيل مدتها سنة واحدة وحماية خصوصية النطاق لإخفاء الملكية، مما يتيح إعادة بناء البنية التحتية بسرعة بعد عمليات التعطيل.
تُظهر الاكتشافات الأخيرة أن العملية مستمرة في التوسع مع مستخدمي شركات وهمية جديدة بما في ذلك Stratus Core Digital LLC، و DataX Engine LLC، و Nova Sphere Systems LLC، وكلها تتبع أنماط هجوم متطابقة.