تم اكتشاف برمجية خبيثة جديدة تعرف باسم “فوكسفيل” (Foxveil) تستهدف الأنظمة بفعالية عبر منصات سحابية شرعية، مما يثير مخاوف بشأن استغلال الجهات التهديدية للخدمات الموثوقة لتجاوز إجراءات الأمان. تعمل هذه البرمجية منذ أغسطس 2025 وشهدت تطورات كبيرة، حيث توجد الآن في شكلين مختلفين، يستغل كل منهما تقنيات متطورة لضمان الثبات ونشر حمولات ثانوية.
حدد باحثو الأمن في CATO CTRL هذه البرمجية الخبيثة غير الموثقة سابقًا خلال عمليات البحث الروتينية عن التهديدات، وتتبعوا نشاطها عبر العديد من الأنظمة التي تم اختراقها. تستمد البرمجية اسمها من سلاسل “fox” المضمنة في عينات التعليمات البرمجية، وتمثل تحولًا مقلقًا في كيفية إساءة استخدام البنية التحتية الشرعية لإخفاء العمليات الخبيثة.
كيف تعمل برمجية “فوكسفيل” الخبيثة
تعمل برمجية “فوكسفيل” بالاتصال بمواقع تجميع يتم التحكم فيها من قبل الجهات التهديدية، والمستضافة على Cloudflare Pages، ونطاقات Netlify، وملفات Discord المرفقة لجلب حمولات shellcode. يسمح هذا النهج للبرمجية بالاندماج بسلاسة في حركة مرور الشبكة العادية للمؤسسات، مما يجعل اكتشافها أكثر صعوبة بالنسبة لأدوات الأمان التقليدية التي تعتمد على قوائم الحظر.
بمجرد تنزيل shellcode، تقوم “فوكسفيل” بتنفيذه عبر تقنيات حقن تختلف بين الشكلين المحددين. يستخدم الشكل الأول حقن APC (Asynchronous Procedure Call) المبكر، مما يؤدي إلى إنشاء عملية svchost.exe وهمية وحقن تعليمات برمجية ضارة قبل استئناف مسار التنفيذ المستهدف بالكامل. يبسط الشكل الثاني هذه العملية عن طريق إجراء حقن ذاتي ضمن سياق العملية نفسها، وغالبًا ما يجلب الحمولات مباشرة من مرفقات Discord.
ضمان الثبات وطرق التخفي
يضمن كلا الشكلين الثبات من خلال تسجيل نفسيهما كخدمات Windows أو إسقاط ملفات تنفيذية إضافية في دليل SysWOW64 بأسماء تحاكي عمليات النظام الشرعية مثل sihost.exe و taskhostw.exe. بعد إنشاء الوصول الأولي، تقوم “فوكسفيل” بتنزيل ملفات تنفيذية إضافية من نطاقات Netlify و Cloudflare Pages، ووضعها بشكل استراتيجي في أدلة النظام للحفاظ على الوصول على المدى الطويل.
تتضمن البرمجية آلية فريدة لتغيير سلاسل الأحرف، حيث تقوم بإعادة كتابة الكلمات الرئيسية الشائعة المستخدمة في التحليل مثل “payload”، “inject”، “beacon”، و “meterpreter” بقيم عشوائية، مما يعقد جهود الكشف الثابت والهندسة العكسية.
تجاوز الدفاعات عبر تغيير السلاسل
واحدة من الميزات غير العادية بشكل خاص تميز “فوكسفيل” عن البرمجيات الخبيثة الأولية النموذجية: قدرتها على تغيير السلاسل النصية أثناء التشغيل. تحتوي البرمجية على تعليمات برمجية تقوم بمسح نشط للكلمات الرئيسية عالية الإشارة المستخدمة عادةً من قبل محللي الأمان واستبدالها بقيم عشوائية أثناء التنفيذ. تستهدف هذه التقنية على وجه التحديد المصطلحات المرتبطة بأطر التحكم والقيادة (C2) وأدوات ما بعد الاستغلال، مما يجعل من الصعب على أنظمة الأمان الآلية تحديد التهديد من خلال الكشف المستند إلى التوقيع.
يجب على فرق الأمن مراقبة سلاسل تنفيذ العمليات غير العادية، وتنزيل الحمولات المرحلية متبوعة بحقن shellcode، وكتابة الملفات المشبوهة في أدلة النظام مثل SysWOW64. يُنصح المؤسسات بتطبيق ضوابط الكشف السلوكي التي تركز على سياق التنفيذ بدلاً من الاعتماد فقط على سمعة النطاق أو التوقيعات الثابتة.