أظهرت أحدث التقارير الأمنية ظهور أداة تعبئة برمجيات خبيثة متطورة لأنظمة ويندوز، تُعرف باسم “pkr_mtsi”، والتي أصبحت أداة قوية لتوزيع عائلات متعددة من البرمجيات الخبيثة عبر حملات إعلانية ضارة واسعة النطاق.
تم اكتشاف هذه الأداة الخبيثة لأول مرة في 24 أبريل 2025، وما زالت نشطة في العمل، حيث تقوم بتوزيع مثبتات محسوبة ظاهرياً لتبدو كبرامج شرعية.
تستهدف الأداة أدوات شائعة مثل PuTTY و Rufus و Microsoft Teams، باستخدام مواقع تنزيل وهمية تحقق تصنيفاً عالياً في محركات البحث من خلال تقنيات الإعلانات الضارة وإساءة استخدام تحسين محركات البحث.
دور pkr_mtsi في حملات التوزيع
تعمل أداة “pkr_mtsi” كمحمل أغراض عام بدلاً من مجرد غلاف لبرمجية خبيثة واحدة. تسمح هذه المرونة بتوزيع مجموعة متنوعة من عائلات البرمجيات الخبيثة، بما في ذلك Oyster و Vidar و Vanguard Stealer و Supper.
يحدث التوزيع عندما يقوم المستخدمون غير المتشككين بتنزيل ما يبدو أنه برامج شرعية من مواقع إلكترونية مزيفة. هذه المواقع ليست نتيجة لهجمات على سلسلة التوريد، بل هي منصات تقليد مصممة بعناية لخداع المستخدمين الذين يبحثون عن أدوات موثوقة.
على مدى الأشهر الثمانية الماضية، لاحظ باحثو ReversingLabs أن “pkr_mtsi” شهدت تطوراً كبيراً، حيث قامت بدمج أساليب تعتيم متزايدة التعقيد وتقنيات مكافحة التحليل.
ومع ذلك، وعلى الرغم من هذا التطور، تحتفظ الأداة بخصائص هيكلية وسلوكية ثابتة تسمح بالكشف الموثوق بها.
حدد محللو ReversingLabs أن برامج مكافحة الفيروسات غالباً ما تشير إلى الأداة باستخدام سلاسل فرعية مثل “oyster” أو “shellcoderunner”، على الرغم من أن تغطية الكشف تظل غير متسقة عبر الأدوات الأمنية المختلفة.
التنفيذ الفني وتخصيص الذاكرة
تُنفذ الأداة عملها عن طريق تخصيص مناطق في الذاكرة حيث يتم كتابة مرحلة التنفيذ التالية. استخدمت الإصدارات المبكرة استدعاءات مباشرة لوظيفة VirtualAlloc، بينما تستخدم الإصدارات الحديثة استدعاءات معتمة لوظيفة ZwAllocateVirtualMemory.
بعد تخصيص الذاكرة، تقوم الأداة بإعادة بناء الأجزاء الضارة عن طريق تقسيمها إلى أجزاء صغيرة تتراوح من بايت واحد إلى ثمانية بايت، وتخزينها كقيم فورية ضمن تدفق التعليمات. تقوم الإصدارات الأحدث بتمرير هذه الأجزاء عبر روتينات فك التشفير قبل كتابتها في إزاحات محددة في الذاكرة.
حدد باحثو ReversingLabs أن الإصدارات المبكرة من “pkr_mtsi” كانت تسترد وظائف DLL و API من سلاسل نصية واضحة، لكن الإصدارات الأحدث تستخدم الآن معرفات مجزأة بالإضافة إلى اجتياز بنية معلومات العملية (PEB).
تستخدم الأداة أيضاً استدعاءات ضارة مكثفة لوظائف GDI API، لا تخدم أي غرض وظيفي سوى إحباط جهود التحليل الثابت والسلوكي. تشكل هذه الخصائص تواقيع كشف موثوقة.
تتوفر الأداة في كل من تنسيقات Executable وملفات الربط الديناميكي (DLL). تدعم إصدارات DLL سياقات تنفيذ متعددة، حيث يؤدي أحد المسارات إلى تنشيط فك التعبئة للمرحلة التالية والبرمجية الخبيثة النهائية عند تحميل DLL.
تُصدّر العديد من عينات DLL وظيفة DllRegisterServer، مما يتيح تحميل البرمجيات الخبيثة عبر regsvr32.exe ويوفر تنفيذاً مستمراً من خلال التسجيل المستند إلى COM في السجل.
تتكون المرحلة الوسيطة من وحدة معدلة محسوبة باستخدام UPX، مع إزالة مكونات التعريف بشكل انتقائي لتجنب الكشف. يتم تجريد الرؤوس والقيم السحرية والبيانات الوصفية المساعدة مع الحفاظ على قدرة التنفيذ.
هذا التدهور المتعمد يعقد كلاً من التعريف الثابت وعمليات فك التعبئة الآلية، مما يجعل التحليل أكثر صعوبة على باحثي الأمن.