أصدرت شركة مايكروسوفت تحذيراً بشأن حملة خبيثة مستمرة تستخدم منصة Node.js لتوزيع برمجيات ضارة مصممة لسرقة المعلومات وإرسال البيانات الحساسة إلى خوادم المهاجمين.
تم رصد هذه الحملة لأول مرة في أكتوبر 2024، حيث يستغل المهاجمون اهتمام المستخدمين بتداول العملات الرقمية لخداعهم بتنزيل برامج مزيّفة تنتحل هوية منصات شهيرة مثل Binance وTradingView.
كيف تعمل البرمجية الخبيثة؟
1. تنزيل مثبت مزيّف
المستخدم يقوم بتحميل ملف التثبيت من موقع مزيف يبدو كأنه تابع لمنصة مشهورة، لكن الملف يحتوي على مكتبة ديناميكية باسم CustomActions.dll، والتي:
-
تجمع معلومات النظام الأساسية باستخدام Windows Management Instrumentation (WMI)
-
تقوم بإنشاء مهمة مجدولة (Scheduled Task) لتثبيت البرمجية وضمان استمرار تشغيلها.
2. خداع المستخدم عبر واجهة مزيفة
لإضفاء طابع شرعي على النشاط، تقوم الـ DLL بفتح نافذة متصفح باستخدام msedge_proxy.exe لعرض الموقع الرسمي لـ Binance أو TradingView، مما يخدع المستخدم بأنه قام بتثبيت البرنامج الأصلي.
معلومة تقنية: يمكن استخدام msedge_proxy.exe لعرض أي موقع كأنه تطبيق مستقل.
تجاوز الحماية والتحايل على Microsoft Defender
خلال تنفيذ المهمة المجدولة، يتم تشغيل أوامر PowerShell لتحميل ملفات نصية من خادم بعيد، وتقوم هذه الملفات بـ:
-
استثناء العملية الحالية ومجلد التثبيت من الفحص الأمني بواسطة Microsoft Defender for Endpoint
-
تنفيذ أوامر مشفّرة تجمع معلومات شاملة عن النظام، BIOS، العتاد، والبرامج المثبتة
يتم تحويل البيانات المجمعة إلى صيغة JSON ثم إرسالها إلى خادم التحكم والسيطرة (C2) عبر طلب HTTPS من نوع POST.
مرحلة متقدمة: تشغيل ملفات Node.js الضارة
في المرحلة التالية من سلسلة الهجوم:
-
يتم تحميل أرشيف يحتوي على مشغل Node.js وملف JavaScript مضغوط (JSC)
-
يبدأ مشغل Node.js في تنفيذ الملف الخبيث، الذي يقوم بإنشاء اتصالات شبكية وربما سرقة بيانات المتصفح الحساسة
استراتيجيات بديلة: ClickFix وتشغيل جافاسكربت مباشرًا
رصدت مايكروسوفت أيضاً مسارًا بديلًا للعدوى حيث يُستخدم ما يُعرف بـ ClickFix لتفعيل تنفيذ JavaScript مضمّن (inline) عبر:
-
تحميل Node.js من خلال PowerShell
-
وتشغيل شيفرة JavaScript مباشرةً دون الحاجة لملف
وتقوم هذه الشيفرة بـ:
-
استكشاف الشبكة لتحديد الأهداف ذات القيمة العالية
-
إخفاء حركة المرور بين الضحية وخادم C2 على أنها حركة من خدمة Cloudflare
-
الحفاظ على الاستمرارية عبر تعديل مفاتيح “التشغيل التلقائي” في سجل نظام Windows
تعليق مايكروسوفت:
“Node.js بيئة تشغيل جافاسكربت مفتوحة المصدر تُستخدم في تطوير تطبيقات الويب”،
“لكن المهاجمين يستغلون خصائصها الموثوقة لتمويه البرمجيات الخبيثة ضمن تطبيقات شرعية، مما يساعدهم على تجاوز أدوات الحماية والبقاء في الأنظمة المستهدفة.”
نشاط مشابه: مواقع مزيّفة وبرمجية SectopRAT
كشفت شركة CloudSEK عن موقع مزيف لتحويل ملفات PDF إلى DOCX ينتحل هوية خدمة PDF Candy، ويستخدم خدعة ClickFix لتشغيل أوامر PowerShell مُشفّرة تُنصّب برمجية SectopRAT المعروفة بسرقة البيانات الحساسة.
الباحث الأمني “Varun Ajmera”: “المهاجمون قاموا بنسخ واجهة المستخدم الأصلية بدقة، وسجلوا نطاقات مشابهة لتضليل المستخدمين.”
هجمات تصيّد تستهدف موظفي الموارد البشرية
رُصدت أيضًا حملات تصيّد احتيالية تستهدف موظفي الموارد البشرية في الشركات عبر مجموعات أدوات PHP، حيث يسعى المهاجمون للوصول إلى بوابات الرواتب وتغيير بيانات الحسابات البنكية لتحويل الرواتب إلى حساباتهم.
تم ربط بعض هذه الأنشطة بمجموعة قرصنة تُدعى Payroll Pirates، والتي تستخدم إعلانات بحث خبيثة مدفوعة وصفحات موارد بشرية مزيفة عبر Google لخداع الضحايا وسرقة بيانات الدخول ورموز المصادقة الثنائية (2FA).
