كشفت تقارير متخصصة عن منصة برمجيات خبيثة جديدة تُعرف باسم “FUD Crypt”، والتي تتيح للمجرمين الإلكترونيين إنشاء برمجيات خبيثة متطورة لأنظمة ويندوز بسهولة ودون الحاجة إلى كتابة أكواد برمجية. تعمل هذه المنصة على تبسيط عملية الهجمات السيبرانية بشكل كبير.
تعمل منصة FUD Crypt من خلال موقع fudcrypt.net، حيث تسمح للمشتركين بتحميل أي ملف تنفيذي لنظام ويندوز، وتقوم بإعادته كحزمة نشر متكاملة وقابلة للتغيير، مما يجعل اكتشافها أكثر صعوبة.
مقابل رسوم شهرية تتراوح بين 800 و 2000 دولار، يحصل المشتركون على برمجيات خبيثة مدعومة بشهادات موقعة من مايكروسوفت، وقدرة على الاستمرار التلقائي داخل النظام، وقناة اتصال وتحكم (C2) مباشرة، كل ذلك يتم تهيئته قبل إصدار المهاجم لأي تعليمات.
ما يجعل FUD Crypt مقلقًا بشكل خاص هو خفضها الكبير لحاجز الدخول للهجمات الخطيرة. أصبح بإمكان أي مجرم لديه القدرة المالية تحميل أداة وصول عن بعد أو أداة سرقة معلومات، والحصول على حزمة مصقولة ومتعددة المراحل مصممة لتجاوز محركات مكافحة الفيروسات، وويندوز ديفندر، وحلول اكتشاف التهديدات والاستجابة لها (EDR).
قدمت المنصة ثلاثة مستويات اشتراك. خطة “Starter” بسعر 800 دولار شهريًا، غطت أدوات النقل الأساسية مثل ProtonVPN و Zoom. بينما خطة “Pro” بسعر 1500 دولار، أضافت دعمًا لـ Discord و OneDrive مع آليات لتجنب آلات المحاكاة الافتراضية (anti-VM).
أما خطة “Enterprise” بسعر 2000 دولار، ففتحت الباب أمام جميع ملفات التعريف البالغ عددها 20، وتجاوز كامل لآلية رفع صلاحيات المستخدم (UAC bypass)، وتعطيل تلقائي لويندوز ديفندر. وبحسب خبراء من Ctrl-Alt-Intel، تم استعادة البنية التحتية الكاملة للمنصة وتحديد الصورة التشغيلية، حيث كشفت عن 200 مستخدم مسجل، و 334 عملية بناء مؤكدة، و 2093 أمرًا تم إصدارها عبر 32 جهازًا تم اختراقها خلال نافذة زمنية مدتها 38 يومًا.
FUD Crypt: ثغرة في الثقة تتيح توقيع البرمجيات الخبيثة
الأمر الأكثر إثارة للقلق في هذه الحملة هو كيفية ظهور الملفات الموقعة لحلول الأمان والمستخدمين النهائيين. عند الفحص، تظهر سلسلة الشهادات كـ “Microsoft Identity Verification Root CA”، مما يعني أن ميزة Windows SmartScreen لا تثير أي إنذار، ويرى المستخدم الذي يتحقق يدويًا من التوقيع ما يراه تمامًا في ملف مايكروسوفت شرعي.
اكتشف الباحثون أن مشغل المنصة سجل في خدمة Azure Trusted Signing الخاصة بمايكروسوفت، واجتاز التحقق من الهوية باستخدام هويات حقيقية، واستخدمها لإنتاج توقيعات Authenticode مدعومة من مايكروسوفت على الملفات الثنائية للبرمجيات الخبيثة. تم تدوير أربع حسابات توقيع خلال ستة أسابيع فقط، مع تجهيز بديل دائمًا قبل انتهاء صلاحية الحساب السابق. جميع حسابات Azure Trusted Signing الأربعة تم الإبلاغ عنها لاحقًا إلى Microsoft MSRC قبل النشر.
آلية الانتشار والتخفي
تعتمد آلية الإصابة الأساسية لـ FUD Crypt على تقنية “DLL sideloading”، حيث يتم وضع ملف DLL خبيث بجانب تطبيق شرعي ليتم تحميله تلقائيًا عند تشغيل هذا التطبيق. تدعم المنصة 20 ملف تعريف للنقل، تشمل برامج شائعة مثل Zoom، و ProtonVPN، و Slack، و Visual Studio Code، و OneDrive، و CCleaner، بالإضافة إلى ملف تعريف يستخدم WindowsDF.exe، وهو عبارة عن غلاف مُعاد تسميته لويندوز ديفندر يقوم بتحميل mpclient.dll، وهو نفس المكتبة التي يستخدمها ديفندر لمحرك الفحص الخاص به.
عند تشغيل الـ DLL، يتم تشغيل مكدس دفاعي متعدد الطبقات للتهرب قبل التعامل مع الحمولة. تستخدم المنصة طريقتين مستقلتين لتعطيل واجهة فحص مضادات البرامج (AMSI): إحداهما عبر تعديل مباشر في الذاكرة يجبر AmsiScanBuffer على إعادة خطأ فوري، والأخرى باستخدام نقاط توقف للأجهزة (CPU hardware breakpoints) مع معالج استثناء موجه يعترض التنفيذ دون لمس amsi.dll مباشرة.
يتم إسكات تتبع الأحداث لنظام ويندوز (ETW) بتعديل بسيط، مما يقطع قناة الاتصال بالبيانات الواردة من المستخدم. بعد ذلك، تنتحل العملية صفة explorer.exe عن طريق إعادة كتابة الحقول في كتلة بيئة العملية (Process Environment Block) قبل جلب الحمولة المشفرة من Dropbox، مع استخدام Catbox.moe كبديل.
الاستمرارية والاتصال
يتم تضمين آلية الاستمرارية تلقائيًا في كل اتصال. يقوم خادم C2 المتواجد على mstelemetrycloud.com، الذي تم تسميته عمدًا ليشبه بنية مايكروسوفت التحتية، بدفع مفتاح تشغيل في سجل النظام (WindowsUpdateSvc registry run key) يشير إلى الملف الثنائي للعميل بمجرد اتصال الجهاز لأول مرة. وتبنيات “Enterprise” الإضافية تسجل مهمة مجدولة باسم MicrosoftEdgeUpdateCore، يتم ضبطها لتشغيلها بأعلى صلاحيات عند كل تسجيل دخول، محاكية خدمة تحديث Edge شرعية.
تُنصح الفرق الأمنية بمراقبة التحميل غير الطبيعي لملفات DLL من مجلدات البرامج، وإدخالات مفاتيح التشغيل في السجل التي تشير إلى mstelemetry.exe، والمهام المجدولة المسماة MicrosoftEdgeUpdateCore، واتصالات WebSocket الصادرة إلى mstelemetrycloud.com. توفر المراقبة السلوكية التي تتعقب تغييرات حماية الذاكرة وانتحال هوية العمليات أقوى فرصة للكشف، حيث يتم تجاوز الكشف القائم على التجزئة (hash-based detection) بفضل التشفير الثلاثي متعدد الأوجه للمنصة.