تزايدت مؤخراً عمليات الاحتيال السيبراني التي تستهدف المطورين والمحترفين في مجال تكنولوجيا المعلومات، حيث استغل مجرمو الإنترنت شعبية أدوات الذكاء الاصطناعي لإنشاء صفحات تنزيل وهمية تحمل اسم “Claude Code”، مساعد التطوير الذكي. تهدف هذه الصفحات الخادعة إلى خداع المستخدمين وتنزيل برامج تجسسية خبيثة بدلاً من البرامج الرسمية.
تم رصد حملات توزيع هذه البرامج الخبيثة عبر نطاقات بديلة، حيث يتم تصميم الصفحات بعناية فائقة لتبدو وكأنها بوابات تنزيل رسمية، مما يمنح المستخدمين سبباً ضئيلاً للشك في مصداقية الملف الذي يقومون بتنزيله. وبمجرد نقر المستخدم على زر التحميل، يتم تشغيل سلسلة تنفيذ خبيثة تبدأ فور فتح الملف.
استغلال أدوات الذكاء الاصطناعي في هجمات إلكترونية
يشير الخبراء الأمنيون إلى أن هذه الحملة تندرج ضمن نمط متزايد من استغلال الثقة المتزايدة في أدوات الذكاء الاصطناعي. مع انتشار منصات التطوير المدعومة بالذكاء الاصطناعي، يجد المجرمون الإلكترونيون سوقاً أكبر من الضحايا المحتملين الذين قد يكونون أقل حذراً عند تنزيل ما يبدو أداة إنتاجية مشروعة.
لم تكن هذه المرة الأولى التي يتم فيها استخدام شعار Claude كطعم؛ فقد شهدت حملات سابقة استغلالاً مشابهاً لعلامات الذكاء الاصطناعي، مما يدل على أن هذا الاتجاه ليس مجرد ظاهرة معزولة.
البرامج التجسسية وخطرها على المستخدمين
يمكن أن تكون تداعيات هذه البرامج التجسسية وخيمة على أي مستخدم متأثر. بمجرد تشغيل البرمجيات الخبيثة على أجهزة الضحايا، تصبح قادرة على جمع بيانات الاعتماد المخزنة في المتصفح، ورموز الجلسات، وغيرها من المعلومات الحساسة، قبل إرسالها إلى البنية التحتية التي يتحكم فيها المهاجمون.
بالنسبة للمطورين، وهم الهدف الأساسي لهذه الهجمات، فإن العواقب تتجاوز مجرد فقدان البيانات الشخصية. قد تفتح بيانات الاعتماد المخترقة أبواباً لمستودعات الكود، وبيئات الحوسبة السحابية، والأنظمة الداخلية، مما قد يؤدي إلى حوادث أمنية أوسع نطاقاً للمؤسسات.
آلية التنفيذ المعتمدة على MSHTA وإساءة استخدام LOLBin
تتمحور آلية الإصابة في هذه الحملة حول إساءة استخدام أداة mshta.exe، وهي أداة موقعة من مايكروسوفت وجزء أساسي من نظام التشغيل ويندوز. نظراً لأنها أداة موثوقة وجزء من النظام، فإن العديد من المنتجات الأمنية لا تنبه إلى نشاطها افتراضياً، مما يجعلها وسيلة منخفضة الوضوح للمهاجمين.
تُعرف هذه التقنية باسم “العيش في الظل” (Living off the Land) وتُصنف ضمن إطار MITRE ATT&CK برقم T1218.005. تسمح هذه التقنية للبرامج الخبيثة بالتنفيذ دون الحاجة إلى إفلات ملف تنفيذي تقليدي على القرص، مما يقلل بشكل كبير من بصمة الكشف عنها.
عندما يتفاعل الضحية مع صفحة التنزيل الوهمية، يتم استدعاء mshta.exe لجلب وتشغيل ملف HTA (HTML Application) عن بعد يحتوي على نص برمجي خبيث مضمن. يقوم هذا النص البرمجي بتنفيذ الوظائف الأساسية للبرنامج المتجسس – جمع بيانات الاعتماد، وبيانات المتصفح، وغيرها من المعلومات الحساسة – بالكامل في الذاكرة.
يشير استخدام تنفيذ HTA عن بعد إلى أن الحمولة الخبيثة لا تستقر فعلياً على النظام كملف منفصل، مما يجعل الاسترداد الجنائي للبيانات أكثر صعوبة بكثير للمستجيبين للحوادث بعد الهجوم. يُنصح فرق الأمن بتفعيل التسجيل المفصل لنشاط mshta.exe عبر جميع نقاط النهاية، ووضع علامة على أي مثيل يتصل بعناوين URL خارجية.
يجب على المؤسسات أيضاً النظر في تقييد تنفيذ mshta.exe من خلال سياسات التحكم في التطبيقات حيثما تسمح متطلبات التشغيل الخاصة بها بذلك. يجب على المستخدمين دائماً التحقق من تنزيلات البرامج من المصادر الرسمية للموردين وتجنب تنزيل الأدوات من مواقع الطرف الثالث أو غير المألوفة، بغض النظر عن مدى ظهور الصفحة بشكل حقيقي.