كشفت تقارير أمنية حديثة عن حملة تستهدف المستخدمين عبر الإنترنت من خلال مواقع وهمية لتنزيل تطبيق تليجرام، مما يؤدي إلى تثبيت برمجيات خبيثة متطورة. تستخدم هذه المواقع تقنية “التوفر في الذاكرة” لتفادي الكشف.
الموقع الضار، الذي يحمل اسم نطاق مشابه جداً للتطبيق الأصلي “telegrgam[.]com”، يقدم نفسه كبوابة رسمية، ويوجه المستخدمين لتنزيل ملف تثبيت وهمي لنظام ويندوز باسم “tsetup-x64.6.exe”. يبدو الملف مطابقاً تماماً للتثبيت الشرعي، مما يجعله فعالاً ضد المستخدمين غير الحذرين.
حملة خبيثة تستهدف مستخدمي تليجرام عبر تضليلهم بنطاقات مشابهة
تتميز هذه التهديدات بآلية عمل معقدة متعددة المراحل. فبدلاً من إطلاق ملف تنفيذي واحد، يعتمد المهاجمون على “حمل” (loader) يقوم بتنفيذ عدة خطوات متتالية. تشمل هذه الخطوات تعديل إعدادات برنامج الحماية “ويندوز ديفندر” وإنزال مكونات حمولة خبيثة، وأخيراً تحميل التعليمات البرمجية النهائية مباشرة في ذاكرة النظام دون حفظها على القرص.
هذه التقنية، المعروفة بـ “التشغيل في الذاكرة”، تجعل من الصعب للغاية على أدوات الأمن التقليدية اكتشاف البرمجيات الخبيثة، حيث تعتمد معظم برامج مكافحة الفيروسات على فحص الملفات المخزنة لتحديد التهديدات.
وفقاً لباحثي K7 Security Labs، الذين اكتشفوا هذه الحملة خلال مراقبتهم الروتينية للشبكة، فإن المهاجمين يستخدمون نطاقات مشابهة لخداع المستخدمين. تم رصد حملات توزيع تطبيقات مزيفة تستغل أسماء نطاقات تم تغييرها حرفياً.
آلية عمل التهديد المتطورة
تتضمن الحملة سلسلة من الإجراءات المتسلسلة بعناية. كل خطوة مصممة لإضعاف دفاعات النظام قبل تنفيذ المرحلة التالية، بينما يتم إلهاء المستخدم بتركيب وهمي لتطبيق تليجرام.
بعد تحميل الحمولة الخبيثة بنجاح في الذاكرة، يقوم البرنامج الضار بفتح اتصال بخادم يتحكم بالبرمجيات الخبيثة (C2) عبر عنوان IP “27[.]50[.]59[.]77:18852″، والذي يرتبط بالنطاق “jiijua[.]com”. من خلال هذا الاتصال، يمكن للمهاجمين إرسال أوامر جديدة، وتحديث الحمولة، ومراقبة النظام المصاب بشكل مستمر.
كشف الباحثون أيضاً عن نطاقات مشابهة أخرى مرتبطة بهذه الحملة، مثل “www.telefgram[.]com” و “www.tejlegram[.]com”. يشير ذلك إلى أن المهاجمين قاموا بإنشاء نقاط دخول وهمية متعددة لاصطياد المستخدمين الذين يبحثون عن التطبيق عبر مسارات مختلفة.
هذه الحملة تذكيّر بأهمية التحقق من عناوين المواقع بدقة، وكيف يمكن لخطأ بسيط في كتابة عنوان URL أن يؤدي إلى اختراق كامل للنظام. غالباً ما يقع المستخدمون العاديون ضحايا ليس بسبب ثغرات تقنية، بل بسبب خداع بصري بسيط مقترن بتنفيذ متطور للبرمجيات الخبيثة.
آلية عمل “الحمل في الذاكرة”
تبدأ العدوى بتشغيل المثبت الوهمي، والذي يبدأ فوراً بتشغيل “cmd.exe” للبحث عن عملية باسم “0tray.exe”، للتأكد مما إذا كان النظام قد تعرض للإصابة سابقاً.
بعد ذلك، يتم إطلاق أمر PowerShell مشفر، والذي يقوم بعد فك تشفيره بتوجيه “ويندوز ديفندر” لاستثناء جميع أقسام القرص الصلب من الفحص، مما يلغي فعلياً الحماية في الوقت الفعلي عبر النظام بأكمله.
مع إضعاف الدفاعات، يقوم المثبت الوهمي بإسقاط عدة ملفات في مجلد “C:Users
كما يتم تسجيل مدخل في سجل النظام تحت “HKCUMicrosoft UserSource” كعلامة للإصابة لتجنب إعادة التثبيت على الأجهزة التي تم اختراقها بالفعل.
يقوم المثبت أيضاً بنشر ملف تليجرام حقيقي بصمت لاستكمال مظهر التثبيت الأصلي.
تنفيذ الحمولة الخبيثة
يكمن جوهر الهجوم في كيفية تنفيذ ملف DLL. يتم تشغيل “AutoRecoverDat.dll” عبر “rundll32.exe” – وهي أداة مساعدة موثوقة في نظام ويندوز – باستخدام دالة “DllRegisterServer” كنقطة دخول.
داخل هذا الملف، يقرأ DLL البيانات الثنائية المشفرة من ملف باسم “GPUCache.xml”، ويعيد بناء ملف تنفيذي كامل (PE) في الذاكرة، ثم يقوم بتشغيله دون كتابته على القرص مطلقاً – وهي تقنية تُعرف بـ “التحميل الانعكاسي”.
تعمل الحمولة المعاد بناؤها بهدوء داخل “rundll32.exe”، مما يجعلها تندمج مع نشاط عمليات ويندوز الطبيعية.
بعد ذلك، يتم الاتصال بخادم C2، والذي يمكنه دفع تحديثات جديدة للحمولة في أي وقت، مما يجعل التهديد قابلاً للتكيف وطويل الأمد.
يجب على المستخدمين تنزيل البرامج فقط من مصادر رسمية وموثوقة، والتحقق دائماً من عنوان URL الدقيق قبل تنزيل أي ملف.
يعد تحديث أدوات أمان نقطة النهاية ومراقبة حركة مرور الشبكة بحثاً عن اتصالات صادرة غير عادية خطوات عملية يمكن أن تساعد في اكتشاف هذا النوع من التهديدات قبل أن تتسبب في أضرار.