كشف تحليل أمني حديث عن ظهور تهديد إلكتروني جديد يُعرف باسم “Caminho Loader”، وهو عبارة عن خدمة تحميل برمجيات خبيثة (Loader-as-a-Service) تستغل تقنيات الإخفاء الرقمي (steganography) والتنفيذ بدون ملفات (fileless execution) بالإضافة إلى إساءة استخدام الخدمات السحابية لتوصيل البرمجيات الضارة بشكل خفي عبر مناطق جغرافية متعددة.
ظهر هذا التهديد لأول مرة في مارس 2025، ويُعتقد أنه نشأ في البرازيل. تعتمد الخدمة على إخفاء حمولات برمجية خبيثة من نوع .NET داخل ملفات صور تبدو بريئة ومستضافة على منصات موثوقة.
وبمجرد تفعيلها، يمكن لـ Caminho Loader نشر مجموعة واسعة من برامج التجسس والوصول عن بعد (RATs) وبرامج سرقة المعلومات، بما في ذلك REMCOS RAT و XWorm و Katz Stealer و AsyncRAT، بهدف اختراق الأنظمة المصابة.
تستهدف هذه العملية بشكل أساسي المنظمات في أمريكا الجنوبية وإفريقيا وأوروبا الشرقية، مع تأكيد وقوع ضحايا في البرازيل وجنوب إفريقيا وأوكرانيا وبولندا. يعتمد المهاجمون على رسائل بريد إلكتروني خادعة (phishing) تستخدم مواضيع تجارية مثل الفواتير وعروض الأسعار وإشعارات الشحن، لإغراء المستخدمين بفتح ملفات أرشيف مرفقة.
داخل هذه الأرشيفات (RAR أو ZIP)، تعمل ملفات JavaScript أو VBScript المشفرة كنقطة تنفيذ أولية، لتبدأ سلسلة العدوى متعددة المراحل بصمت عند تشغيلها من قبل الضحية. وقد تم تحديد Caminho Loader بواسطة محللي ANY.RUN أثناء فحصهم لملفات مشبوهة في بيئة الاختبار الخاصة بهم، حيث لاحظوا الاستخدام المتسق لتقنية الإخفاء الرقمي، والتنفيذ في الذاكرة، ونموذج توصيل مرن.
تفاصيل تقنية حول Caminho Loader
تُظهر الأبحاث أن جميع العينات التي تم تحليلها تحتوي على سلاسل نصية باللغة البرتغالية، بالإضافة إلى فضاء أسماء مميز هو “HackForums.gigajew”، مما يعزز الارتباط بالبرازيل. يتمثل التأثير الكبير لهذا اللودر في أنه لا يعتمد على عائلة برمجيات خبيثة واحدة. بدلاً من ذلك، يقوم العملاء المجرمون باستئجار البنية التحتية للتوصيل وربط حمولات .NET الخاصة بهم عبر معلمات موحدة.
يسمح هذا النهج المعياري لحملات متعددة بمشاركة نفس الصور وملفات البرمجة النصية ذات التقنية الإخفائية، مع توصيل برمجيات خبيثة مختلفة تمامًا للمستهدفين النهائيين. بالنسبة للمدافعين، هذا يعني أن بنية تحتية واحدة للتحميل يمكن أن تدعم سرقة بيانات الاعتماد، أو التجسس، أو الوصول عن بعد، اعتمادًا على الجهة التي تقف وراء حملة معينة.
سلسلة العدوى واستخدام الإخفاء الرقمي
تستخدم سلسلة العدوى خلف Caminho Loader خدمات مشروعة في كل خطوة تقريبًا، مما يجعل من الصعب تصفيتها دون التأثير على حركة مرور الأعمال العادية. بعد أن يقوم الضحية بتشغيل ملف JavaScript أو VBScript الضار من أرشيف خادع، يتصل البرنامج النصي بخدمات تشبه Pastebin مثل paste.ee أو pastefy.app لتنزيل تعليمات PowerShell مشفرة بشدة.
تقوم مرحلة PowerShell هذه بعد ذلك بالاتصال بمنصات ذات سمعة جيدة مثل archive.org لاسترداد ملفات الصور التي تبدو سليمة للمستخدمين والأدوات الأمنية على حد سواء. داخل هذه الصور، يخفي Caminho Loader رمز تحميل .NET مشفر بنظام Base64 باستخدام تقنية Least Significant Bit (LSB) للإخفاء الرقمي. هذه التقنية تقوم بتضمين البيانات في الأجزاء الأقل وضوحًا لقيم البكسل دون تغيير مظهر الصورة.
يقوم البرنامج النصي PowerShell بفحص الصورة التي تم تنزيلها، واستخراج البيانات المخفية، وإعادة بناء تجميع .NET مباشرة في الذاكرة، ثم تشغيله باستخدام وسيطات تتضمن عنوان URL للحمولة النهائية. نظرًا لأن اللودر لا يقوم أبدًا بكتابة الملف التنفيذي إلى القرص، فإن أدوات مكافحة الفيروسات التقليدية غالبًا ما تفشل في اكتشاف المكون الضار.
بمجرد تشغيل Caminho Loader في الذاكرة، فإنه يتصل بالبنية التحتية التي يتحكم فيها المهاجمون لتنزيل وتنفيذ الحمولة المختارة، مثل REMCOS أو AsyncRAT. تتولى هذه الحمولة بعد ذلك إجراءات الانتشار الأفقي، وسرقة بيانات الاعتماد، والحصول على وصول طويل الأمد. تُظهر تتبعات حقن AsyncRAT إحدى الحالات الملاحظة حيث قام اللودر بحقن AsyncRAT في عملية AddInProcess32، مما جعله يندمج مع نشاط النظام الطبيعي.
توفر مشاهد ANY.RUN لهذه المراحل للمدافعين نافذة نادرة وشاملة لتهديد يهدف بخلاف ذلك إلى ترك أقل قدر ممكن من الآثار الجنائية.