كشفت حملة برمجيات خبيثة جديدة تستهدف مستخدمي ويندوز عن انتشار برمجية تجسس معلومات NWHStealer، التي تنتشر عبر مواقع وهمية لشبكات VPN وتحديثات معدلة للألعاب. يسعى المهاجمون إلى استغلال ثقة المستخدمين عن طريق تقديم برامج يحتاجونها بالفعل.
يتم توزيع هذه البرمجيات الخبيثة بطرق مبتكرة تتجاوز أساليب التصيد التقليدية. بدلاً من رسائل البريد الإلكتروني المشبوهة، يلجأ المهاجمون إلى بث برمجية NWHStealer عبر ملفات يبحث عنها المستخدمون ويقومون بتنزيلها بأنفسهم، مما يجعل اكتشافها أكثر صعوبة.
حملة NWHStealer: الأساليب والتوزيع
تستهدف حملة NWHStealer المستخدمين من خلال عدة قنوات. تشمل هذه القنوات مواقع ويب مزيفة تنتحل صفة خدمات موثوقة، ومنصات استضافة الأكواد مثل GitHub وGitLab، ومواقع مشاركة الملفات كـ MediaFire وSourceForge. بالإضافة إلى ذلك، تستغل الحملة روابط في وصف وقسم التعليقات لمقاطع فيديو على يوتيوب تتعلق بالألعاب والأمن.
يتم إخفاء البرمجية الخبيثة كبرامج يحتاجها المستخدمون بشكل فعلي. من بين هذه البرامج، مثبتات شبكات VPN، وأدوات تشخيص الأنظمة مثل OhmGraphite وPachtop وSidebar Diagnostics، بالإضافة إلى أدوات غش وتعديلات للألعاب شائعة مثل Xeno.
هذه النطاق الواسع من طرق التوزيع، والذي يشمل منصات موثوقة، يجعل هذه الحملة خطيرة بشكل خاص. تجعل طبيعة البرمجيات المقدمة، على أنها أدوات مفيدة، المستخدمين أقل حذراً في عمليات التنزيل.
لاحظ محللو Malwarebytes وجود حملات نشطة متعددة تقوم بتوزيع NWHStealer. وأشاروا إلى أن البرمجية الخبيثة يمكن تحميلها عبر آليات حقن ذاتي أو حقن داخل عمليات ويندوز شرعية مثل RegAsm، وهو أداة تسجيل التجميع الخاصة بمايكروسوفت.
ووفقًا للتقرير الذي أعده مهندس أبحاث البرمجيات الخبيثة، جابرييل أوريني، غالبًا ما تُستخدم أوعية إضافية، بما في ذلك حزم MSI وبيئات Node.js، كحمّالة أولية قبل تسليم الحمولة الفعلية.
سرقة البيانات والآثار المترتبة
بمجرد وصول البرمجية الخبيثة إلى نظام الضحية، يمكنها جمع بيانات المتصفح، وكلمات المرور المحفوظة، ومعلومات محافظ العملات المشفرة. يمكن للمهاجمين استخدام هذه المعلومات للاستيلاء على الحسابات، أو سحب الأموال، أو تنفيذ هجمات أخرى.
تتمثل العواقب الفورية للضحايا في المخاطر الجسيمة. تقوم NWHStealer بفحص أكثر من 25 مجلدًا ومفتاح تسجيل مرتبط بمحافظ العملات المشفرة، وتستهدف المتصفحات مثل Edge وChrome وOpera وBrave وChromium وFirefox لسحب بيانات الاعتماد المخزنة وبيانات الجلسة.
تُشفر المعلومات المسروقة باستخدام AES-CBC قبل إرسالها إلى خادم التحكم والسيطرة الخاص بالمهاجم. في حالة تعطل الخادم الأساسي، تستعيد البرمجية الخبيثة نطاق C2 جديدًا من خلال “بريد ميت” يعتمد على Telegram، مما يضمن استمرار عملية التشغيل حتى مع تغيير البنية التحتية.
تبرز طريقة توزيع غير عادية في هذه الحملة. فقد وُجد أن مقدم خدمة استضافة ويب مجاني على onworks[.]net، والذي يحتل مرتبة ضمن أفضل 100,000 موقع عالميًا، يستضيف أرشيفات ZIP ضارة في قسم التنزيلات الخاص به.
ملفات تحمل أسماء مثل HardwareVisualizer_1.3.1.zip وSidebar Diagnostics-3.6.5.zip تبدو شرعية تمامًا، لكنها تحتوي على تعليمات برمجية ضارة تبدأ سلسلة العدوى بمجرد تشغيل المستخدم للملف التنفيذي الموجود بداخلها.
آلية الإصابة المعقدة
تعتمد الطريقة التي تصل بها NWHStealer إلى مرحلتها النهائية على طبقات فنية متعددة، مصممة لتجنب الاكتشاف في كل خطوة. في الحالة الأولى التي لوحظت، يتم تضمين التعليمات البرمجية الضارة مباشرة داخل ملف تنفيذي يبدو شرعيًا مثل HardwareVisualizer.exe.
عند تشغيل هذا الحمّال، يقوم بعدة عمليات بالتتابع: يتحقق من وجود أدوات التحليل ويتوقف إذا تم العثور على أي منها، ويستخدم دالة فك تشفير مخصصة لمعالجة السلاسل النصية، ويحدد وظائف Windows API من خلال LoadLibraryA وGetProcAddress، وأخيرًا، يقوم بفك تشفير وتحميل حمولة المرحلة التالية باستخدام AES-CBC عبر واجهات برمجة التطبيقات BCrypt.
يتم عن قصد حشو التعليمات البرمجية غير الضرورية في الحمّال لإبطاء التحليل وإرباك الأدوات الآلية.
في الحالة الثانية التي لوحظت، تقوم مواقع Proton VPN المزيفة بتسليم ملف ZIP ضار يستخدم اختراق DLL لتنفيذ البرمجية الخبيثة. هنا، ملف يبدو كملف تنفيذي لـ WinRAR يحتوي على مكتبة ضارة تسمى WindowsCodecs.dll، تقوم بفك تشفير موردين مضمنين.
أحد هذه الموارد هو DLL من المرحلة الثانية يسمى runpeNew.dll، والذي يقوم بتنفيذ عملية “تفريغ” عن طريق حقن الحمولة النهائية في عملية Windows قيد التشغيل مثل RegAsm.exe باستخدام واجهات برمجة التطبيقات منخفضة المستوى، بما في ذلك NtProtectVirtualMemory وNtAllocateVirtualMemory.
بمجرد دخول البرمجية الخبيثة إلى النظام، تستخدم DLL المحقونة PowerShell لإنشاء مجلدات مخفية في LOCALAPPDATA، وتضيف تلك المجلدات إلى استثناءات Windows Defender، وتفرض تحديثًا لنهج المجموعة لتثبيت تغييراتها.
كما يتم إنشاء مهام مجدولة لتشغيل الحمولة عند تسجيل دخول المستخدم بصلاحيات مرتفعة، مما يمنح البرمجية الخبيثة موطئ قدم دائم.
لتجاوز التحكم في حساب المستخدم (UAC)، تستخدم البرمجية الخبيثة تقنية معروفة لتجاوز UAC باستخدام CMSTP، وتنشئ ملف .inf عشوائي في المجلد المؤقت وتستخدم cmstp.exe لرفع مستوى الصلاحيات دون إطلاق موجه مرئي.
نصائح لتجنب الإصابة
ينصح باحثو Malwarebytes المستخدمين بتطبيق الاحتياطات التالية لتقليل التعرض لهذه الحملة:
- تنزيل البرامج فقط من مواقع الويب الرسمية والموثقة، وتجنب مرايا التنزيل الخارجية.
- توخي الحذر مع أي ملفات مصدرها GitHub أو SourceForge أو منصات مشاركة الملفات، ما لم يكن الناشر موثوقًا به ومدققًا بالكامل.
- التحقق دائمًا من تواقيع الملفات وتفاصيل الناشر قبل تشغيل أي ملف تنفيذي تم تنزيله.
- تجنب تنزيل الأدوات أو البرامج عبر الروابط المنشورة في وصف مقاطع فيديو YouTube أو تعليقاتها.
- التحقق من سلامة الأرشيفات المضغوطة عن طريق فحص توقيع ومعلومات إصدار أي برنامج يحتوي عليها قبل استخراجه.