أعادت مجموعة “بلاك كات” (Black Cat) الإجرامية السيبرانية نشاطها بقوة من خلال حملة برمجيات خبيثة متطورة، مستخدمة تقنيات تحسين محركات البحث (SEO) المتقدمة لتوزيع نسخ مزيفة من برامج مفتوحة المصدر شائعة. الهدف هو سرقة البيانات الحساسة.
تستغل المجموعة خوارزميات محركات البحث لترتيب مواقع ويب تصيدية لمبرمجيات مثل “نوت باد بلس بلس” (Notepad++) في مقدمة نتائج البحث. هذا التلاعب يخلق واجهة شبيهة بالشرعية، مما يوقع المستخدمين في فخ تحميل برامج ضارة.
تتم عملية تحميل البرمجيات الضارة عبر توجيهات متعددة، لتصل في النهاية إلى صفحة مزيفة تحاكي واجهة “جيت هاب” (GitHub)، مما يقلل من شكوك المستخدمين قبل تثبيت البرمجية المخترقة.
حملة “بلاك كات” تستهدف سرقة البيانات
بحسب تقارير “وي شين” (Weixin)، نجحت هذه الحملة في اختراق حوالي 277,800 خادم بين أواخر عام 2025 وبدايته. تتركز أهداف البرمجية الخبيثة على تسريب المعلومات الحساسة مثل بيانات المستخدمين، وتسجيلات ضغطات المفاتيح، ومحتويات الحافظة.
يمثل هذا الكشف عن سرقة البيانات تهديداً فورياً وخطيراً لكل من المستخدمين الأفراد والبنى التحتية للمؤسسات المعرضة لهذه الهجمات. وتعكس هذه الحملة التطور المستمر لأساليب التهديدات السيبرانية.
آلية الإصابة والتنفيذ
تتميز آلية الإصابة بالبرمجية الخبيثة بتعقيدها التقني. فور التشغيل الأولي، يقوم المثبّت بإنشاء اختصار زائف على سطح المكتب، يشير مباشرة إلى نقطة دخول الباب الخلفي بدلاً من التطبيق الفعلي.
تستخدم البرمجية الخبيثة بذكاء استراتيجية “التنفيذ الأبيض والأسود”، حيث يتم استخدام ملف تنفيذي عادي لتحميل مكون “DLL” خبيث. يتم تكليف هذا المكون بالبحث عن وفك تشفير ملف مشفر مخفي.
بعد نجاح عملية فك التشفير، يتم تحميل الملف التنفيذي الضار مباشرة في ذاكرة النظام عبر تقنية “الانعكاس” (reflection)، مما يساعد على تجاوز آليات الكشف التقليدية.
تضمن البرمجية الخبيثة استمراريتها عن طريق إنشاء عناصر بدء تشغيل محددة في سجل ويندوز، وتبدأ فوراً بالاتصال بخادم الأوامر والتحكم، والذي تم تثبيته بعنوان “sbido.com:2869”.
يُسهّل هذا الاتصال المستمر نقل البيانات المسروقة، بينما يقوم المهاجمون بتحديث عنوان IP للخادم بشكل متكرر لتجنب إجراءات الحظر القائمة على الشبكة.