عاد برنامج Gootloader الخبيث ليمثل تهديداً خطيراً بعد فترة خمول، حيث استأنف نشاطه في نوفمبر 2025 بقدرات محسّنة مصممة للتسلل عبر أنظمة الأمن الحديثة. يتخصص هذا البرنامج الضار في توفير الوصول الأولي، مما يعني أن مطوريه ينشئون نقطة دخول لهجمات برامج الفدية، ثم يسلمون السيطرة إلى جهات فاعلة أخرى تقوم بنشر أدوات التشفير الفعلية.
تكمن فعالية Gootloader في قدرته على تفادي الكشف مع الحفاظ على وظيفته في الأنظمة المخترقة. تتسابق المؤسسات حول العالم للدفاع ضد هذا التهديد المتزايد، حيث تواصل مجموعة التهديد المعروفة باسم Vanilla Tempest استغلاله بالاقتران مع حملات برامج الفدية Rhysida.
Gootloader: التهديد السيبراني المتجدد بقدرات متطورة
ينتقل البرنامج الضار عبر مواقع ويب مخترقة مضمنة داخل أرشيفات ZIP مضللة، والتي يتم تشويهها عمداً لإرباك أدوات الأمان. عندما يقوم المستخدمون بتنزيل ما يبدو أنه مستند شرعي، فإنهم يحصلون على ملف مليء بمئات من أرشيفات ZIP المتسلسلة التي تم تصميمها لتجاوز التحليل الآلي وبرامج الاستخراج المتخصصة.
تم تصميم العبوة الخارجية بحيث لا تستطيع معظم أدوات فك الضغط مثل 7zip و WinRAR استخراج المحتويات، ومع ذلك، فإن أداة فك الضغط الافتراضية في نظام ويندوز تفتحها بشكل موثوق، مما يضمن للمستخدمين تشغيل الحمولة بينما تكافح جهات الدفاع لتحليلها.
لاحظ محللو Expel أن أرشيفات ZIP الخاصة بـ Gootloader تحتوي على العديد من ميزات التهرب المتطورة التي تعمل بتناغم. يشمل الهيكل مئات النسخ المتسلسلة، وقيم عشوائية في الحقول الهامة، وأقسام مبتورة عمداً تسبب أخطاء في تحليل الماسحات الأمنية التقليدية. في السنوات السابقة، مثل هذا البرنامج الضار أحد عشر بالمائة من جميع البرامج الضارة التي تم اكتشافها وهي تتجاوز الحلول الأمنية، مما يدل على سجله الحافل.
آلية الإصابة واستراتيجية الثبات
بمجرد فتح ملف ZIP الخبيث، يتم تنفيذ ملف JScript مضمن داخله تلقائيًا عند النقر المزدوج عليه. يعمل هذا البرنامج النصي من خلال Windows Script Host وينشئ ثباتاً فورياً عن طريق إنشاء ملفات ارتباط في مجلد Startup الخاص بالمستخدم. تشير هذه الارتباطات إلى ملف JScript ثانٍ مخزن في دليل عشوائي، مما يضمن إعادة تنشيط البرنامج الضار مع كل إعادة تشغيل للنظام.
يقوم JScript بعد ذلك بتشغيل PowerShell بأوامر مشوشة للغاية تتواصل مع البنية التحتية للمهاجمين لتنزيل حمولات ثانوية. تمتد استراتيجية التهرب إلى أبعد من ذلك من خلال تقنية تسمى “hashbusting”، حيث يحتوي كل ملف يتم تنزيله على خصائص فريدة.
لكل ضحية، يتم توفير هيكل أرشيف مختلف تماماً مع قيم حقول عشوائية، مما يجعل الكشف المستند إلى التوقيع مستحيلاً تقريباً. لا يمكن للمؤسسات الاعتماد على تجزئات الملفات أو الأنماط الثابتة لتحديد هذه العينات عبر شبكاتها.
يجب على فرق الأمن إعطاء الأولوية لمنع تنفيذ JScript من خلال Group Policy Objects عن طريق إعادة ربط ملفات .js بـ Notepad بدلاً من Windows Script Host. تشمل الحماية الإضافية مراقبة سلاسل عمليات PowerShell المشبوهة، واكتشاف استخدام أسماء NTFS القصيرة أثناء تنفيذ البرامج النصية، والمسح الضوئي لهياكل ZIP المشوهة باستخدام قواعد YARA المتخصصة. يوفر الكشف المبكر في مرحلة تسليم ZIP أفضل فرصة لمنع نشر برامج الفدية قبل أن تكتسب الجهات الفاعلة وصولاً أعمق إلى النظام.