كشف خبراء الأمن السيبراني عن ظهور برنامج تحميل جديد ومتطور، يُعرف باسم PhantomVAI، ضمن حملات تصيد عالمية. يستهدف هذا البرنامج المستخدمين حول العالم من خلال إرسال مجموعة متنوعة من برامج سرقة البيانات وأحصنة طروادة للوصول عن بعد (RATs) إلى الأنظمة المخترقة.
يعمل برنامج التحميل PhantomVAI عن طريق انتحال صفة برامج مشروعة، ويستخدم تقنيات إدخال التعليمات البرمجية الخبيثة في عمليات ويندوز (Process Hollowing) لتجنب الكشف. وقد وثق باحثون في عدة منظمات هذا التهديد تحت أسماء مختلفة، مما نتج عنه بعض الارتباك في مجتمع الأمن السيبراني حول هويته الحقيقية وقدراته.
PhantomVAI: تهديد متقدم في حملات التصيد
يستهدف برنامج التحميل PhantomVAI المستخدمين على نطاق واسع من خلال فخاخ تصيد متنوعة، غالبًا ما تكون في مرفقات بريد إلكتروني أو روابط خبيثة. بمجرد تشغيله، يقوم البرنامج بتنزيل حمولات خبيثة وحقنها في عمليات ويندوز الشرعية، مما يجعل اكتشافه أكثر صعوبة بكثير.
وقد ارتبط البرنامج بتوصيل تهديدات معروفة مثل Remcos و XWorm و AsyncRAT و DarkCloud و SmokeLoader عبر مناطق جغرافية متعددة. وتشير التقارير إلى أن العديد من بائعي حلول الأمن السيبراني قد قاموا بتوثيق برنامج التحميل هذا بشكل مستقل، مما أدى إلى إطلاقه تسميات مختلفة مثل VMDetectLoader و Caminho Loader.
أسباب عدم الاتساق في التسمية
يعود عدم الاتساق في تسمية PhantomVAI إلى قيام المنظمات المختلفة بتحليل مكونات برنامج التحميل المتنوعة بشكل منفصل. ومع ذلك، اكتشف الباحثون أن جميع النسخ المشتركة تشترك في خصائص أساسية. تشمل هذه الخصائص وجود وظيفية “VAI”، وسلاسل نصية باللغة البرتغالية ضمن الشيفرة، واستخدام اسم “Microsoft.Win32.TaskScheduler.dll” لانتحال صفة مكتبة جدولة المهام المشروعة من مايكروسوفت.
البنية التقنية وتدفق التنفيذ
تعتمد الوظيفة الأساسية لبرنامج التحميل PhantomVAI على أداة RunPE المعروفة باسم “Mandark”، والتي تم تطويرها بواسطة مستخدم باسم “gigajew” على منتديات HackForums وتم نشرها كمصدر مفتوح قبل عدة سنوات. تقوم هذه الأداة بتنفيذ تقنية Process Hollowing عن طريق إنشاء عملية شرعية معلقة، ثم إفراغ ذاكرتها، وحقن الشيفرة الخبيثة فيها.
ويؤكد وجود مساحة الاسم “hackforums.gigajew” في شيفرة برنامج التحميل ارتباطه بالأداة الأصلية. يستخدم PhantomVAI بشكل خاص الإصدار 2.11.0.0 من مكتبة Microsoft Windows Task Scheduler الشرعية.
يقوم البرنامج باستخلاص الحقول ذات الصلة من رأس الحمولة التي تم تنزيلها، بما في ذلك حجم الصورة، وحجم الرؤوس، ونقطة الدخول، والعنوان الأساسي. بعد ذلك، يبدأ عملية مضيفة، ويخصص ذاكرة بصلاحيات القراءة والكتابة والتنفيذ، ثم ينسخ رؤوس القطع التنفيذية (PE headers) والأقسام إليها.
يقوم برنامج التحميل بتعديل مسجلات المعالج لضمان دقة حل الاستيراد وإعادة التوطين قبل استئناف تشغيل الخيط لتنفيذ الحمولة الخبيثة. ويعمل التهديد في إطار ما يشتبه في كونه نموذج “برنامج تحميل كخدمة” (Loader-as-a-Service). ويظهر ذلك من خلال التنوع الكبير في الحمولات التي يتم توصيلها، وقبول عناوين URL للحمولات كمعاملات عشوائية.
يسمح هذا النموذج لجهات فاعلة تهديدات متعددة بالاستفادة من نفس البنية التحتية لحملات خبيثة مختلفة، مما يساهم في الانتشار الواسع للهجمات المرصودة على مستوى العالم. يعد فهم آليات عمل PhantomVAI، مثل تقنية Process Hollowing، أمرًا ضروريًا لمكافحة مثل هذه التهديدات المستمرة.
تابعنا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، واجعل CSN مصدرك المفضل في Google.