تُسلّط أحدث التطورات في مجال الأمن السيبراني الضوء على ظهور أدوات برمجيات خبيثة متقدمة تستخدم الذكاء الاصطناعي، مما يمثل تحديًا متزايدًا للقوى الأمنية. وفي هذا السياق، كشف تقرير حديث عن ترويج جهات إجرامية إلكترونية لبرنامج تشفير “ميتا مورفيك” (Metamorphic Crypter) مدعوم بالذكاء الاصطناعي، يدّعي قدرته على تجاوز برامج الحماية، بما في ذلك ويندوز ديفندر، مما يفتح الباب أمام مخاطر جديدة للشركات والأنظمة.
بدأ أحد المهاجمين السيبرانيين، الذي يُعرف بالاسم المستعار “ImpactSolutions”، بالإعلان عن خدمة تشفير متطورة على منتديات الإنترنت المظلم، تحت اسم “InternalWhisper x ImpactSolutions”. يمثل هذا البرنامج نقلة نوعية في تطوير البرمجيات الخبيثة، حيث يستفيد من تقنيات الذكاء الاصطناعي لتعديل التعليمات البرمجية الضارة بشكل ديناميكي أثناء عملية التصريف، مما يؤدي إلى إنتاج ملفات تبدو مختلفة تمامًا في كل مرة.
برنامج تشفير مدعوم بالذكاء الاصطناعي يقلق خبراء الأمن
تكمن القوة الأساسية لبرنامج التشفير هذا في محركه “الميتا مورفيك” المدعوم بالذكاء الاصطناعي، والذي يعيد كتابة معظم التعليمات البرمجية الضارة في كل دورة بناء. هذه العملية تولّد ملفات خالية من التواقيع الثابتة، وهي العلامات التي تعتمد عليها برامج مكافحة الفيروسات عادةً للكشف عن التهديدات.
يدّعي الخصم بقوة أن الأداة قادرة على تجاوز ويندوز ديفندر ومنصات الأمان الأخرى لنقاط النهاية، مقدمةً ما يعرف في مجتمع الإنترنت المظلم بالحالة “غير قابلة للكشف” (FUD). وقد حدد محللو “ThreatMon” هذه الخدمة كمدعاة للقلق بشكل خاص نظرًا لسهولة الوصول إليها ومرونتها التشغيلية.
آلية عمل مدمرة
تعمل المنصة من خلال لوحة تحكم آلية عبر الويب، لا تتطلب سوى الحد الأدنى من الخبرة التقنية، مما يتيح إنشاء ملفات مشفرة بسرعة في غضون ثوانٍ. هذه الديمقراطية في تقديم تقنيات التهرب المتقدمة توسع بشكل كبير قاعدة المستخدمين المحتملين لتشمل مجموعات تتجاوز الكيانات شديدة التميز.
تُعد آلية العدوى جانبًا معقدًا بشكل خاص لقدرات هذا برنامج التشفير. تدعم الخدمة أنواعًا متعددة من الحمولة (payloads)، بما في ذلك الملفات الثنائية الأصلية المكتوبة بلغة C و C++، بالإضافة إلى تطبيقات .NET، مع دعم معماريات Windows x86 و x64. تركز خيارات التحميل (loader) على التخفي، مستخدمةً استدعاءات النظام المباشرة التي تتجاوز مراقبة الواجهة البرمجية التقليدية (API)، وتقنية “process hollowing” التي تقوم بحقن التعليمات البرمجية في عمليات مشروعة، وتحميل الملفات الثنائية الموقعة بشكل جانبي (signed binary sideloading) الذي يستغل الملفات التنفيذية الأصلية الموقعة من Microsoft لتنفيذ تعليمات برمجية خبيثة.
تعمل تكتيكات التهرب هذه بالتآزر مع ميزات الأمان المتقدمة. يطبق برنامج التشفير تشفير حمولة AES-256 وتشفير السلاسل وقت التشغيل (runtime string encryption) لإخفاء الوظائف الخبيثة، بينما تكتشف تقنيات مكافحة التحليل البيئات الافتراضية وصناديق الرمل (sandboxes)، مما يمنع الفحص التفصيلي. تضمن آليات الاستمرارية الاختيارية بقاء البرمجيات الخبيثة حتى بعد إعادة تشغيل النظام، بينما تسمح تقنية التزييف الوصفي (metadata spoofing)، وتخصيص الأيقونات، واستنساخ الشهادات للمشغلين بإخفاء البرمجيات الخبيثة كبرامج مشروعة.
يثير الطابع التجاري لهذا العرض مخاوف إضافية. يقدم المهاجم خطط تسعير متدرجة، مما يضع الأداة كخدمة مشروعة للعملاء المتكررين. يشير نموذج العمل هذا إلى تطوير وتحسينات مستمرة، مما يخلق تحديًا طويل الأمد للمدافعين عن الأمن السيبراني في مشهد التهديدات المتطور.