كشفت حملة برمجية خبيثة جديدة عن تكتيكات متطورة لتوصيل برمجيات سرقة المعلومات، مستغلةً الهندسة الاجتماعية ومكونات ويندوز الشرعية لتجنب الكشف.
تبدأ الهجمة بمطالبة وهمية من نوع “كابتشا” (CAPTCHA) تخدع المستخدمين لتنفيذ أوامر يدوياً عبر مربع حوار “تشغيل” (Run) في ويندوز، مما يجعل عملية الإصابة تبدو كخطوة تحقق ضرورية.
بدلاً من استخدام طرق تنفيذ PowerShell التقليدية التي تراقبها أدوات الأمان عادةً، يستغل المهاجمون إطار عمل المحاكاة الافتراضية للتطبيقات (Application Virtualization) من مايكروسوفت لتجاوز آليات الكشف.
تمثل سلسلة الهجوم هذه تحولاً كبيراً في أساليب جهات التهديد المتقدمة لتوصيل البرمجيات الخبيثة.
فبدلاً من الاعتماد على استغلال الثغرات أو التنفيذ المباشر للحزم الضارة، تركز الحملة على تنسيق دقيق لكل مرحلة لضمان قدرتها على البقاء بعيداً عن التحليل الآلي ومراقبة الأمان.
يعتمد تقدم الإصابة على توافر شروط محددة وتحققها في أوقات دقيقة، مما يضمن عدم تنفيذ البرمجيات الخبيثة إلا عند اكتمال التسلسل المقصود.
هذا التصميم المتعمد يجعل عملية تحليل الهجوم في البيئات المعزولة (sandboxed) أكثر صعوبة ويقلل من احتمالية إطلاق تنبيهات دفاعية.
لاحظ محللو شركة “بلاك بوينت” (Blackpoint) أن الحملة تظهر تخطيطاً دقيقاً عبر مراحل تنفيذ متعددة، كل مرحلة تعزز الإجراءات الأمنية للمرحلة التي سبقتها.
يقوم المهاجمون بسلسلة من مكونات مايكروسوفت الموقعة، وبوابات تنفيذ مرتبطة بسلوك المستخدم، وخدمات طرف ثالث، ومراحل تعمل بالكامل في الذاكرة لتحسين الموثوقية والتخفي.
ما يميز الهجوم الحالي عن حملات البرمجيات الخبيثة الاعتيادية ليس خدعة تقنية واحدة، بل كيفية تضافر كل مكون بشكل متقن لتجنب لفت الانتباه غير المرغوب فيه حتى يحقق الحمولة الضارة أهدافه.
تستهدف الإصابة في نهاية المطاف تحميل برنامج “أماتيرا ستيلر” (Amatera Stealer)، وهي عائلة معروفة من البرمجيات الخبيثة لجمع المعلومات.
ومع ذلك، فإن آلية التوصيل تظهر ابتكاراً في كيفية تعبئة وتوزيع المهاجمين للكود الضار مع تفادي الأنظمة الدفاعية.
من خلال استخدام طبقات متعددة من التمويه وتوقيت التنفيذ بعناية، يضمن المهاجمون بقاء بنيتهم التحتية عاملة لفترة أطول مع الحفاظ على السيطرة التشغيلية على الحملة.
يعتمد نجاح الحملة على الحكم الخاطئ للمستخدمين واستغلال البنية التحتية الموثوقة لمايكروسوفت، مما يجعلها فعالة ضد كل من الأنظمة الأمنية والمشغلين البشريين الذين قد يكتشفون النشاط الضار بخلاف ذلك.
فهم آلية الإصابة واستراتيجية التخفي
تبدأ سلسلة الإصابة عندما يواجه الضحايا واجهة “كابتشا” احتيالية تطالبهم بلصق وتنفيذ أمر عبر مربع حوار “تشغيل” (Run).
يتم توجيههم للاعتقاد بأن هذا الإجراء يمثل خطوة تحقق بشرية مطلوبة، وهو ذريعة مقنعة أصبحت شائعة بشكل متزايد في مشهد التهديدات الإلكترونية.
يوجّه الأمر التنفيذ عبر SyncAppvPublishingServer.vbs، وهو نص برمجي شرعي وموقع مرتبط بإطار عمل المحاكاة الافتراضية للتطبيقات (Application Virtualization) من مايكروسوفت، بدلاً من تشغيل PowerShell مباشرة.
تثبت هذه الطريقة فعاليتها بشكل خاص لأنها تغير مسار تنفيذ العملية من التسلسل الشائع المراقبة explorer.exe إلى powershell.exe.
بدلاً من ذلك، يتدفق التنفيذ عبر wscript.exe إلى نص برمجي لنشر App-V، والذي يندمج مع نشاط النظام الشرعي على الأجهزة التي تم تثبيت مكونات App-V عليها.
يستغل المهاجمون حقيقة أن App-V مدمج في الإصدارات الحديثة من Windows 10 و Windows 11 للمؤسسات والتعليم، مما يسمح لهم باستهداف أنظمة المؤسسات القيمة مع تصفية عمليات التثبيت الاستهلاكية القياسية التي تفتقر إلى هذه المكونات بشكل طبيعي.
يقوم الأمر الأولي أيضاً بتعيين متغير بيئة مؤقت يسمى ALLUSERSPROFILE_X، والذي يعمل كعلامة تنفيذ تثبت أن المستخدم قام بتشغيل الأمر يدوياً.
يصبح هذا المتغير ذا أهمية قصوى لاحقاً، حيث يعمل كبوابة تمنع التقدم ما لم تكن هذه العلامة المحددة موجودة في حالة حافظة النظام.
تقوم منطق PowerShell المضمن بإعادة بناء الوظائف الحساسة في وقت التشغيل باستخدام الأسماء المستعارة (aliases) ودقة الأحرف البديلة (wildcard resolution) بدلاً من تضمين سلاسل أوامر واضحة.
على سبيل المثال، يستخدم النص البرمجي الاسم المستعار المختصر gal لحل Get-Alias، ثم يستدعي gal i*x لاسترداد الاسم المستعار iex، والذي يشير في النهاية إلى Invoke-Expression.
يقوم المحمل (loader) بفرض بوابة تنفيذ تعتمد على حافظة البيانات فوراً، ويبحث عن علامة ALLUSERSPROFILE_X. إذا لم تكن العلامة موجودة، يعرض النص البرمجي رسائل وهمية باستخدام نوافذ منبثقة من shell النصي وتتعطل عمداً بالدخول في حالة انتظار لا نهائية.
هذا التثبيط المتعمد يمنع التحليل في البيئات المعزولة التي تفجر النص البرمجي دون محاكاة حالة حافظة البيانات المتوقعة، حيث تعلق إلى أجل غير مسمى بدلاً من الفشل بشكل نظيف.
فقط عندما يتم العثور على العلامة المتوقعة، يتقدم التنفيذ لاسترداد بيانات التكوين من ملف Google Calendar عام، مما يسمح للمهاجمين بتحديث منطق التوصيل دون إعادة نشر المراحل السابقة.
يوضح التصميم كيف تعزز بوابات التنفيذ المتعددة، كل منها مرتبط بإجراءات مستخدم محددة أو شروط حالة النظام، سلسلة الهجوم وتجعل التحليل العرضي أكثر صعوبة بشكل كبير.