يشكل برمجية JSCEAL الخبيثة تهديداً متزايداً لمستخدمي أنظمة ويندوز، حيث تستهدف بشكل خاص البيانات الحساسة وحسابات العملات المشفرة. وقد رصد باحثون أمنيون مؤخراً تطورات مقلقة في هذه البرمجية، تمكنها من تجاوز إجراءات الحماية بفعالية أكبر.
جاءت التقارير الأولى حول JSCEAL من Check Point Research في يوليو 2025، ومنذ ذلك الحين، استمرت البرمجية في تعزيز قدراتها، مضيفة تقنيات متقدمة للتخفي من وسائل الكشف الأمنية. وتظهر موجة الهجمات الجديدة التي بدأت في أغسطس 2025 أن التهديد أصبح أكثر خطورة، مع تحسينات في أنظمة القيادة والتحكم (C2) وطرق أكثر ذكاءً لإخفاء أنشطتها.
تنتشر البرمجية الخبيثة عبر إعلانات خادعة عبر الإنترنت، تدفع المستخدمين لزيارة مواقع ويب وهمية. وبمجرد وصول المستخدم إلى هذه الصفحات المصممة بعناية، يقوم بتنزيل مثبتات ضارة يبدو أنها برامج شرعية دون علمه.
تقوم هذه المثبتات بتثبيت JSCEAL على أجهزة ويندوز، حيث تبدأ البرمجية في جمع معلومات حساسة مثل كلمات المرور وأسماء المستخدمين وبيانات المتصفح.
يُظهر تدفق العدوى هذا نهجاً بسيطاً ولكنه فعال، يستمر في تفادي فرق الأمن.
حدد محللو CATO Networks أن JSCEAL لم تنجُ فحسب، بل تحولت إلى تهديد أكثر تطوراً. فقد قام المشغلون وراء البرمجية الخبيثة بإعادة تصميم بنيتهم التحتية بالكامل اعتباراً من 20 أغسطس 2025، بالانتقال من أسماء النطاقات متعددة الكلمات المعروفة إلى نطاقات من كلمة واحدة مثل emberstolight.com.
هذا التحول يجعل البنية التحتية الضارة أصعب في اكتشافها وحظرها باستخدام الطرق التقليدية.
تقنيات متقدمة لتجاوز الكشف عن JSCEAL
تستخدم البرمجية الآن العديد من الحيل الذكية لتجنب الكشف. فعندما تحاول أدوات الأمان أو المحللون الوصول إلى خوادم القيادة والتحكم، يتطلب النظام معرفاً مميزاً لـ PowerShell user-agent للمتابعة.
تتلقى الطلبات من المتصفحات العادية رسائل خطأ وهمية مصممة لتبدو كملفات PDF تالفة، مما يخلق طبقة إضافية من التعقيد.
فقط الأنظمة التي تجتاز هذه الشيكات تحصل على الحمولة الخبيثة الفعلية، مما يجعل عملية العدوى محكمة للغاية ويصعب تحليلها.
هذا النهج متعدد المراحل يجبر البرنامج النصي على التحقق من أن ملف PDF قد تم إرجاعه قبل الانتقال إلى نقطة نهاية البرنامج النصي، حيث يتم تسليم الحمولة التشغيلية، مما يعقد جهود التحليل الآلي بشكل كبير.
يتضمن التقدم التقني المهم إعادة هيكلة البرنامج النصي PowerShell، الذي يستخدم الآن Windows Scheduler عبر كائنات COM بدلاً من إنشاء مهام مجدولة مباشرة.
يجعل هذا التغيير من الصعب للغاية تحديد هوية البرمجية الخبيثة من خلال مؤشرات التعليمات البرمجية البسيطة. كما يدعم نظام تسليم الحمولة الجديد تنسيقات بيانات متعددة، بما في ذلك البايتات الخام (raw bytes) و JSON و MIME، مما يوفر للمشغلين مرونة أكبر في هجماتهم.
لا يزال التهديد نشطاً ومتطوراً. يجب على المؤسسات تطبيق إجراءات أمنية صارمة، بما في ذلك حظر نشاط PowerShell المشبوه، ومراقبة الاتصالات غير العادية بالقيادة والتحكم، وتثقيف المستخدمين حول الإعلانات الضارة.
تحتاج فرق الأمن إلى البقاء يقظة ضد برمجيات سرقة المعلومات مثل JSCEAL، التي لا تنجح من خلال استغلالات دراماتيكية، بل من خلال تصميم دقيق ومتعمد وتحسين مستمر لقدرات التخفي.