كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة متطورة تُعرف باسم PHALTBLYX، تستهدف قطاع الضيافة بشكل خاص. تستخدم هذه الحملة أساليب هندسة اجتماعية معقدة وتقنيات تمويه متقدمة لزعزعة استقرار الأنظمة المستهدفة.
تبدأ الهجمات برسائل بريد إلكتروني تصيدية تنتحل صفة موقع Booking.com، وتزعم وجود إلغاء حجوزات عاجل مع فرض رسوم مالية كبيرة باليورو. تدفع هذه الرسائل الضحايا للنقر على روابط تؤدي إلى مواقع ويب وهمية تشبه تمامًا الموقع الرسمي، مستغلة قلق المستخدمين بشأن المعاملات الاحتيالية.
حملة PHALTBLYX وعوامل تهديد جديدة
تتطور الحملة عبر سلسلة من المراحل المصممة بعناية لتجاوز الإجراءات الأمنية التقليدية. بمجرد أن ينقر الضحايا على زر “تحديث” في الصفحة المزيفة، يعرض المتصفح شاشة زرقاء وهمية مشابهة لشاشة “الموت الزرقاء” لنظام ويندوز. تدفع هذه العملية المستخدمين إلى اتباع تعليمات تظهر على الشاشة تتضمن الضغط على تركيبات معينة من مفاتيح لوحة المفاتيح.
يشير محللو الأمن في Securonix إلى أن هذا الأسلوب، المعروف باسم “النقر للإصلاح” (click-fix)، يعد تطورًا مهمًا في آلية توصيل البرمجيات الخبيثة. تعتمد هذه التقنية على التنفيذ اليدوي من قبل المستخدم بدلاً من العمليات الآلية، مما يسمح لها بالتحايل على ضوابط الأمان التي قد تمنع تنفيذ البرامج النصية.
يتم نسخ أمر PowerShell خبيث بصمت إلى حافظة المستخدم، والذي ينفذه الضحية دون علمه عند اتباع التعليمات الظاهرة. يفتح هذا الأمر صفحة Booking.com الإدارية الشرعية كإلهاء، فيما يقوم بتنزيل ملف MSBuild .proj من خوادم بعيدة.
آلية الإصابة والتمويه
تستغل آلية الإصابة المترجم MSBuild.exe الشرعي الخاص بمايكروسوفت لتنفيذ ملف .proj الذي تم تنزيله، وهي تقنية تعرف باسم “العيش مع الموارد المتاحة” (living off the land). يسمح هذا النهج للبرمجيات الخبيثة بالمرور عبر أدوات ويندوز الموثوقة، وغالبًا ما تتجاوز قوائم التطبيقات المسموح بها وكشف برامج مكافحة الفيروسات.
بمجرد التنفيذ، تقوم البرمجية الخبيثة بتعطيل Windows Defender عن طريق إضافة استثناءات واسعة لملحقات الملفات واستثناءات محددة للمجلدات، مما يضمن بقاء الحمولة اللاحقة غير مكتشفة. الحمولة النهائية تكون متغيرًا مخصصًا من DCRat، وهو حصان طروادة للوصول عن بعد قادر على اختراق الأنظمة بشكل شامل.
يقوم البرنامج بإنشاء ثبات باستخدام ملفات الاختصار عبر الإنترنت الموضوعة في مجلد بدء تشغيل ويندوز، متنكرًا كأدوات نظام شرعية. عند الاتصال بخوادم القيادة والتحكم، تقوم البرمجية الخبيثة بجمع معلومات شاملة عن النظام، بما في ذلك تعريفات الأجهزة، وتفاصيل نظام التشغيل، وبرامج مكافحة الفيروسات المثبتة، وعناوين النوافذ النشطة.
تشمل قدرات البرنامج تسجيل ضربات المفاتيح، وحقن العمليات في ملفات النظام الشرعية مثل aspnetcompiler.exe، وتنزيل حمولات خبيثة إضافية. تشير الأدلة على وجود حروف سيرييل وسلاسل تصحيح روسية بقوة إلى أن الجهات الفاعلة وراء التهديد تتحدث باللغة الروسية.
يجب على المؤسسات تطبيق تدريب صارم لزيادة وعي المستخدمين حول تكتيكات “النقر للإصلاح”، ومراقبة تنفيذ MSBuild.exe المشبوه الصادر من مجلدات غير قياسية للكشف عن هجمات مماثلة ومنعها. هذه التطورات في أساليب الهندسة الاجتماعية تستدعي يقظة مستمرة من جميع المستخدمين والجهات الأمنية.