كشفت حملة هجومية جديدة عن طريقة توزيع متطورة لبرنامج PURELOGS الخبيث، وهو برامج تجسس تباع كخدمة عبر المنتديات الإلكترونية غير الشرعية. ويستغل المهاجمون ملفات PNG سلاحاً لتوصيل الحمولة الخبيثة، مستفيدين من بنية تحتية مشروعة لتجنب الكشف.
تبدأ الحملة برسائل تصيد احتيالي خادعة تبدو كفواتير صيدلانية، تحتوي على ملف ZIP ضار يؤدي إلى سلسلة هجمات متعددة المراحل مصممة لتجاوز الضوابط الأمنية التقليدية.
استغلال ملفات PNG سلاحاً لتوصيل PURELOGS
أحد أبرز جوانب هذه الحملة هو استخدام ملفات PNG كأسلوب مبتكر لإخفاء حمولة PURELOGS الخبيثة. وتشير تحليلات أمنية إلى أن هذه الملفات، رغم ظاهرها كملفات صور عادية، تحتوي على حمولة مشفرة بـ Base64 مخبأة بعد البيانات الرسمية للصورة.
تم التعرف على هذه الحملة وتحليلها من قبل محللين أمنيين من شركة Swiss Post Cybersecurity، بعد لفت انتباههم لعينة تصيد احتيالي غير معتادة. ووصف محلل أمني كيفية تجاوز هذه البرمجيات الخبيثة لأربعة مستويات من التعتيم للكشف عن PURELOGS في جوهرها.
تبرز هذه الاكتشافات كيف يجمع المهاجمون بين البرمجيات الخبيثة المعروفة والبنية التحتية المبتكرة لتحقيق أقصى قدر من التهرب ونجاح التوصيل. وتعتمد هذه التقنية على إخفاء الكود بالكامل داخل ملف الصورة، مما يسمح بعرض الصورة بشكل طبيعي مع إخفاء المحتوى الضار عن المستخدمين وأدوات الأمن.
التقنية المبتكرة وراء التخفي
تكمن براعة هذه الهجمة في الاستفادة من مواقع ذات سمعة جيدة مثل Archive.org لتحميل ملفات PNG. ويبدو تحميل الصورة من مصدر موثوق طبيعياً للمراقبين الأمنيين، مما يمنع لفت الانتباه.
ويتم دمج الحمولة الخبيثة في ملف PNG بعد علامة نهاية الصورة IEND، وهي علامة رسمية في مواصفات تنسيق PNG. ويتم وضع البيانات المشفرة بين علامتي تعريف مخصصة، ما يجعلها غير مرئية تماماً.
تستخرج البرمجية الخبيثة الحمولة باستخدام مطابقة أنماط Regex للعثور على المحتوى بين العلامات المخصصة. ثم يتم فك تشفير Base64 للبيانات الناتجة وتحميلها مباشرة في الذاكرة باستخدام .NET Reflection.
تُطلق عملية PowerShell بيئة تنفيذ مخفية وتشغل الحمولة المفككة عبر الأمر Invoke-Expression، مما يكمل التنفيذ في الذاكرة ويتجاوز ضوابط الأمن المعتمدة على الملفات.
تأثيرات التهديد وتكاليفه
ما يجعل هذا الهجوم مقلقاً هو استخدامه لتقنيات تنفيذ غير ملفية طوال سلسلة العدوى. حيث لا تلامس حمولة PowerShell القرص أبداً، وتبقى في الذاكرة فقط أثناء مرحلة التنفيذ. هذا النهج يجعل توقيعات مكافحة الفيروسات القائمة على الملفات وطرق الكشف القائمة على التجزئة غير فعالة تماماً.
الحافز المالي وراء هذه الهجمات كبير. يعمل PURELOGS كبرنامج تجسس كخدمة (Malware-as-a-Service)، باشتراكات تبدأ من 150 دولاراً شهرياً، مما يجعله متاحاً للمشغلين بمستويات متفاوتة من المهارات التقنية.
هذا التحول نحو إضفاء الطابع الديمقراطي على البرمجيات الخبيثة يعني أن المؤسسات تواجه تهديدات من كل من المجموعات المتقدمة والمهاجمين المبتدئين الذين يستخدمون أدوات متطابقة.
إن استخدام Archive.org الموثوق به كمخبأ يوضح كيف يستغل المهاجمون علاقات الثقة القائمة من خلال البنية التحتية المشروعة لمزج حركة المرور الخاصة بهم مع نشاط الإنترنت العادي. ويوضح هذا الأسلوب المبتكر كيف يمكن للمهاجمين المعاصرين الاستفادة من الخدمات المشروعة لإخفاء آثارهم.