كشفت تقارير أمنية حديثة عن حملات خبيثة متواصلة تستخدم برامج تثبيت مزيفة تنتحل هويات أدوات إنتاجية مشروعة، مزودة بقدرات باب خلفي متطور. يتم إنشاء هذه البرامج الخبيثة باستخدام أداة EvilAI لتوزيع برمجيات خبيعة تعرف باسم TamperedChef/BaoLoader، في هجمات معقدة تهدف إلى سرقة البيانات الحساسة والتحكم الكامل في الأنظمة المستهدفة.
آلية الهجوم: برامج تثبيت خبيعة بوجه شرعي
تعتمد الحملات الإلكترونية على خداع المستخدمين through برامج تثبيت تبدو شرعية لأدوات إنتاجية شائعة، لكنها في الحقيقة تحمل شفرات خبيعة. يتم توزيع هذه البرامج المزيفة عبر مواقع ويب مخادعة أو منصات تبدو موثوقة، حيث يصعب على المستخدم العادي تمييزها عن البرامج الحقيقية. وتشير الأدلة إلى أن المهاجمين يستخدمون أداة EvilAI لإنشاء هذه البرامج الخبيثة بسرعة وكفاءة، مما يمكنهم من تحديث أساليبهم باستمرار.
باب خلفي متطور: سيطرة كاملة وسرقة منهجية
يكشف التحليل التقني أن الباب الخلفي المضمن في هذه البرامج الخبيعة يمتاز بقدرات خطيرة، حيث يتمكن من استخراج أسرار DPAPI التي تستخدمها أنظمة التشغيل لحماية البيانات الحساسة مثل كلمات المرور وبيانات الاعتماد. كما يوفر functionality تحكم وتحكم كامل، يشمل تنفيذ أوامر تعسفية، تحميل وتنزيل الملفات، وتسريب البيانات. هذه القدرات تمنح المهاجمين سيطرة شبه كاملة على الأنظمة المصابة.
هجمات متعددة المراحل: استمرارية واستدامة التهديد
في معظم الحالات التي تم رصدها، تتابع البرمجيات الخبيعة هجومها through نشر ملفات ثنائية من المرحلة الثانية، وإنشاء آليات استمرارية إضافية لضمان بقائها في النظام. تشمل هذه الآليات مفاتيح تسجيل ASEP التي تمكن البرمجية من التشغيل التلقائي عند بدء النظام، وملفات .LNK الخاصة بالبدء، مما يضمن استمرار عمل البرمجية الخبيثة حتى في حال إعادة تشغيل الجهاز.
توصيات أمنية: مواجهة التهديد المتطور
تواجه المؤسسات والأفراد تحدياً كبيراً في مواجهة هذا النوع من الهجمات المتطورة. تشمل التوصيات الأمنية التحقق من صحة برامج التثبيت through المواقع الرسمية فقط، استخدام حلول أمنية متعددة الطبقات، وتطبيق مبدأ أقل صلاحية. كما ينبغي للمؤسسات تعزيز برامج التوعية الأمنية للموظفين، ومراقبة الأنظمة لاكتشاف أي سلوك مشبوه، والحفاظ على تحديث مستمر للبرامج وأنظمة الحماية.
