متحور جديد من برمجية الفدية المعروفة باسم “PlugX” ينتشر عبر قارات متعددة باستخدام تقنية التسلل الخبيث عبر أقراص USB، وقد تم اكتشافه بالفعل في عدة مناطق جغرافية متباعدة.
تم رصد هذه السلالة الحديثة لأول مرة في بابوا غينيا الجديدة في أغسطس 2022، وشهدت عودتها مجدداً في يناير 2023 في نفس الدولة وفي غانا، وهما موقعان يفصل بينهما آلاف الأميال.
بعد ذلك، تأكدت الإصابات في منغوليا وزيمبابوي ونيجيريا، مما يجعل هذا الانتشار واحداً من أوسع برمجيات التجسس انتشاراً على مستوى العالم في الآونة الأخيرة، وذلك بالاعتماد على تقنيات التخفي عبر أقراص USB.
PlugX: تهديد متجدد بأساليب تطورت
برمجية PlugX بحد ذاتها ليست جديدة، فهي تعرف كحصان طروادة شائع للوصول عن بعد (RAT) يعود أصله إلى الصين، وقد استُخدمت من قبل جهات تهديد مختلفة على مدار سنوات.
لكن ما يميز هذا المتحور الجديد هو حمولته البرمجية المحدثة وارتباطه بخادم قيادة وتحكم (C2) لم يكن مرتبطاً بهذه العائلة من البرمجيات الخبيثة من قبل.
يستغل الدودة تقنية “تحميل DLL جنباً إلى جنب” (DLL sideloading) لتنفيذ الشيفرة البرمجية الخبيثة دون إثارة الشبهات الفورية.
آلية الهجوم والتخفي
يرتكز آلية الإصابة في هذا المتحور على الخداع. عندما تنسخ الدودة نفسها على قرص USB، فإنها تستخدم سلاسل “mutex” محددة لإدارة العملية.
بعد النسخ، يبدو قرص USB فارغاً تماماً عند عرضه عبر مستكشف ملفات ويندوز الاعتيادي. بدلاً من ذلك، يرى المستخدم اختصاراً مصمماً ليبدو وكأنه قرص قابل للإزالة آخر، مع أيقونة مطابقة.
عند النقر على هذا الاختصار، يقوم بتشغيل ملف تنفيذي يدعى CEFHelper، والذي هو في الواقع ملف AvastSvc.exe المعاد تسميته. يهدف هذا التنكر إلى تجنب لفت الانتباه، حيث يتم تسميته على غرار عملية شرعية في برامج أدوبي.
يتم إعطاء جميع الملفات والمجلدات الخبيثة الأخرى سمات مخفية ونظام، مما يجعلها غير مرئية افتراضياً في قوائم الملفات القياسية.
يقوم المتحور بتخزين جميع ملفاته داخل مجلد يحمل اسم RECYCLER.BIN، ويضع ملف desktop.ini ليبدو وكأن المجلد هو سلة مهملات ويندوز فعلية.
هذا التمويه يعني أن الملفات المحذوفة من القرص الصلب للمستخدم تظهر في هذا المجلد، مما يزيد من صعوبة اكتشاف وجود الدودة. داخل مجلد RECYCLER.BIN، يستهدف البرنامج الضار مستندات بصيغ متنوعة مثل .doc، .docx، .xls، .xlsx، .ppt، .pptx، و .pdf، ثم يقوم بتشفيرها وحفظها بأسماء ملفات مشفرة بترميز base64 تمهيداً لسحبها.
الحماية من التهديدات السيبرانية المستمرة
يجب على المؤسسات التعامل مع توصيل أقراص USB كخطر كبير، خاصة في البيئات التي تتعامل مع وثائق سرية أو بيانات حساسة.
تعطيل خاصيتي AutoRun و AutoPlay لجميع الوسائط القابلة للإزالة هو خطوة أولية أساسية لكنها فعالة. كما ينبغي لفرق تقنية المعلومات تكوين أنظمتها لإظهار الملفات المخفية وملفات النظام افتراضياً، مما قد يساعد في اكتشاف المجلدات المشبوهة مثل RECYCLER.BIN.
يظل المراقبة المنتظمة لحركة مرور C2 الصادرة، ونشر حلول حماية نقاط النهاية القادرة على اكتشاف نشاط تحميل DLL جانبي، خطوات حيوية لأي منظمة تواجه هذا النوع من التهديدات المستهدفة.