كشفت حملة برمجيات خبيثة جديدة متطورة، أُطلق عليها اسم “CRESCENTHARVEST”، عن استراتيجية ذكية تستغل الاضطرابات الجيوسياسية في إيران لاستهداف المعارضين وأنصار الاحتجاجات. تهدف هذه العملية السيبرانية التجسسية إلى اختراق أهداف محددة باستخدام الهندسة الاجتماعية لزرع تهديد مزدوج الغرض، يعمل كحصان طروادة للوصول عن بعد (RAT) ومستخرج معلومات متقدم.
تبدأ سلسلة الإصابة بملف أرشيفي يحتوي على محتوى وصور وتقارير تبدو وكأنها متعلقة بالاحتجاجات الجارية، مما يزيد من احتمالية فتحها من قبل الضحايا. داخل هذه الحزمة، يواجه المستخدمون ملفات .LNK خبيثة مُقنّعة كملفات فيديو أو صور، مثل VID_20260114_000556_609.mp4.lnk. عند تشغيلها، تقوم هذه الاختصارات بتنشيط تسلسل خفي يقوم بتنزيل الحمولة الضارة، بينما يعرض محتوى وهميًا لتجنب الشك.
بهذه الطريقة، تتجاوز الحملة التدقيق الأولي، حيث تدمج المؤشرات الخبيثة مع مستندات باللغة الفارسية حقيقية. كشف محللون في شركة “أكرونيس” أن البرمجية الخبيثة تستخدم تقنية تُعرف بتحميل وحدات DLL الجانبية، مستغلةً ملفًا تنفيذيًا موقعًا من Google، وهو software_reporter_tool.exe، لتحميل مكتبات خبيثة.
يسمح هذا للمهاجمين بتنفيذ الأوامر، وتسجيل ضغطات المفاتيح، وسرقة بيانات حساسة مثل بيانات اعتماد المتصفح وملفات جلسات Telegram. يبدو أن الهدف الأساسي للحملة هو المراقبة طويلة الأمد وجمع المعلومات الاستخباراتية حول الأفراد المتعاطفين مع حركة المعارضة، مما يشير إلى خصم ذي موارد جيدة، على الأرجح مدعوم من الدولة الإيرانية.
استغلال مشاعر الاحتجاجات الإيرانية
تكمن براعة حملة “CRESCENTHARVEST” في زرع البرمجية الخبيثة ضمن سياق يلامس مشاعر الجمهور المستهدف، مما يزيد من احتمالية نجاح الإصابة. تصميم البرمجية الخبيثة المعياري يسمح لها بالتكيف مع بيئات مختلفة، مما يضمن قدرتها على جمع بيانات واسعة مع الحفاظ على بصمة منخفضة على جهاز الضحية.
إضافة إلى ذلك، فإن استخدام ملفات .LNK المزيفة كمخبأ للتحميل الأولي يشير إلى استراتيجية مدروسة لتجنب الكشف المبكر بواسطة أدوات الأمان التقليدية التي قد تركز على اكتشاف البرامج الضارة مباشرة.
تجاوز تشفير التطبيقات
من السمات التقنية المميزة لـ “CRESCENTHARVEST” وحدتها المصممة خصيصًا للتغلب على تشفير التطبيقات في متصفح Chrome. تعمل وحدة DLL الخبيثة، التي تم التعرف عليها باسم urtcbased140d_d.dll، كزرعة متخصصة تتفاعل مباشرة مع واجهات COM الداخلية للمتصفح لتسهيل السرقة. بدلاً من مجرد نسخ الملفات، يقوم بإنشاء بنية سياق للمتصفح لطلب خدمات فك التشفير من نظام التشغيل بشكل شرعي، متجاوزًا آليات الحماية القياسية.
تحدد الوحدة ملف Local State داخل دليل AppData الخاص بالمستخدم لاستخراج المفتاح المشفر. ثم تستخدم الوظيفة CoCreateInstance لإنشاء وسيط COM مرتفع، مما يخدع النظام فعليًا لفك تشفير المفتاح. بمجرد فك تشفيره، يتم تسريب هذه المعلومات الحساسة عبر أنبوب مسمى إلى وحدة الباب الخلفي الرئيسية، مما يسمح للمهاجمين بفتح وسرقة بيانات الاعتماد المحفوظة وملفات تعريف الارتباط والسجل.
للتخفيف من مثل هذه التهديدات، يوصي الخبراء بأن يستخدم المستخدمون مفاتيح الأمان المادية وأن يمارسوا حذرًا شديدًا مع الملفات غير المرغوب فيها. يجب على المؤسسات مراقبة عمليات إنشاء كائنات COM غير العادية والتحقق بدقة من الملفات التنفيذية الموقعة للكشف عن هذه التقنية الملتوية بفعالية.