كشفت تقارير أمنية حديثة عن حملة تجسسية نشطة تستغل أدوات الألعاب الشهيرة لنشر برمجيات خبيثة، حيث يقوم المحتالون السيبرانيون بإخفاء برامج ضارة داخل أدوات الألعاب التي تبدو طبيعية، وذلك بهدف الوصول إلى أجهزة المستخدمين دون علمهم.
وقد اكتشف فريق مايكروسوفت للأمن هذه الحملة، التي تهدف إلى توزيع إصدارات معدلة من أدوات الألعاب المعروفة على مستخدمين غير مدركين لطبيعتها. وعند تشغيل هذه الأدوات المزيفة، تقوم بنشر خبيث عن بعد (RAT) يمنح المهاجمين سيطرة كاملة وغير مقيدة على الجهاز المصاب.
حملة تجسسية تستغل أدوات الألعاب الخبيثة
تمثل هذه الحملة تحولاً واضحاً في استراتيجيات الجهات التهديدية، حيث أصبحت تستخدم البرامج الشائعة للوصول إلى قاعدة أوسع من الضحايا، الذين غالباً ما يكونون أقل حذراً عند التعامل مع مثل هذه الملفات. وقد تم توزيع البرمجيات الخبيثة عبر المتصفحات ومنصات الدردشة، مما سهّل تحميل وتشغيل الملفات المصابة دون قصد.
الملفان الرئيسيان المستخدمان في هذه الحملة هما “Xeno.exe” و “RobloxPlayerBeta.exe”، وتم اختيارهما بعناية لكونهما يبدوان مألوفين وذات مصداقية للاعبين. من خلال استهداف مجتمعات الألعاب، يعتمد المهاجمون على حقيقة أن المستخدمين الأصغر سناً أو العاديين قد يكونون أقل حذراً عند تشغيل الملفات التنفيذية التي تم تنزيلها من مجموعات الدردشة أو المواقع الخارجية.
هذا التكتيك يقلل من حذر الضحية ويزيد بشكل كبير من معدل نجاح المهاجمين. لقد قام محللو التهديدات في مايكروسوفت بتحديد البرمجيات الخبيثة وتتبع سلسلة الهجوم الكاملة، كاشفين عن عملية إصابة متعددة المراحل ومخطط لها جيداً. وأشار الباحثون إلى أن الحمولة النهائية كانت تهديداً متعدد الأغراض قادراً على العمل كـ Load, Run, Download, و RAT في آن واحد.
آليات الإصابة والتخفي
ما يجعل هذه الحملة ذكية بشكل خاص هو طريقة تثبيت البرمجيات الخبيثة وتخفيها عن أدوات الأمان. بعد تشغيل أداة الألعاب المعدلة، يقوم برنامج تنزيل خبيث بتثبيت بيئة تشغيل Java محمولة على الجهاز، ثم ينفذ ملف Java Archive (JAR) خبيث يسمى “jd-gui.jar”. استخدام بيئة Java محمولة يعني أن المهاجم لا يحتاج إلى تثبيت Java مسبقاً على جهاز الضحية، حيث تأتي البرمجية الخبيثة بكل ما تحتاجه.
لتجنب الاكتشاف، يتخذ برنامج التنزيل خطوات حذرة. يستخدم PowerShell إلى جانب الأدوات الثنائية الشرعية (LOLBins)، وتحديداً “cmstp.exe”، لتشغيل شيفرته بطريقة تندمج مع نشاط النظام الطبيعي. وبعد الانتهاء من مهمته، يقوم برنامج التنزيل بحذف نفسه لإزالة أي أثر لوجوده على النظام. كما أضاف المهاجمون استثناءات مباشرة في Microsoft Defender لمكونات الـ RAT، موجهين أداة الأمان بتجاهل الملفات الخبيثة بالكامل.
لضمان بقاء البرمجية الخبيثة بعد إعادة تشغيل النظام، أنشأ المهاجمون مهمة مجدولة ونظام بدء تشغيل يسمى “world.vbs”. هذه الآليات تضمن تشغيل الـ RAT في كل مرة يتم فيها تشغيل الجهاز، مما يمنح المهاجمين موطئ قدم موثوقاً ومستمراً على النظام المصاب.
التداعيات والتوصيات
إن تأثير هذه الحملة كبير ولا ينبغي الاستهانة به. بمجرد تثبيت الـ RAT بنجاح، يتصل المهاجمون بجهاز الضحية عبر خادم القيادة والتحكم (C2) على عنوان IP 79.110.49[.]15. من تلك النقطة، يصبح النظام المخترق تحت سيطرة المهاجم بالكامل. يمكن سرقة الملفات الشخصية، وبيانات تسجيل الدخول، وأي بيانات مخزنة أو مكتوبة على الجهاز بهدوء دون أن يدرك المستخدم وجود أي مشكلة.
بالنسبة للمؤسسات التي قد يستخدم فيها الموظفون أجهزتهم الشخصية للعمل، فإن هذا التهديد يحمل عواقب وخيمة وبعيدة المدى. توصي الجهات الأمنية المؤسسات والمستخدمين الأفراد باتخاذ خطوات دفاعية حاسمة، بما في ذلك حظر أو مراقبة الاتصالات الصادرة إلى النطاقات وعناوين IP الخبيثة المعروفة، وإعداد تنبيهات لتنزيلات ملفات مثل “java[.]zip” أو “jd-gui.jar” من مصادر غير موثوقة. كما يُنصح بالبحث عن العمليات والمكونات ذات الصلة عبر نقاط النهاية باستخدام بيانات EDR، ومراجعة استثناءات Microsoft Defender والمهام المجدولة بحثًا عن إدخالات مشبوهة. يجب عزل الأجهزة المتأثرة فورًا عند الاكتشاف، وجمع بيانات EDR، وإعادة تعيين بيانات اعتماد أي مستخدمين نشطين على المضيفين المخترقين.