كشفت شركة الأمن السيبراني BlueVoyant عن حملة جديدة تستهدف المستخدمين عبر إضافات مزيفة لمتصفح مرتبطة بخدمة SAP Concur. هذه الإضافات الوهمية تحتوي على مُحمّل (Loader) يقوم بجمع معلومات الجهاز وإرسالها إلى خادم التحكم والسيطرة (C2 Server)، قبل أن يستخرج برمجية خلفية خبيثة تعرف باسم FireClient. هذه البرمجية تمنح المهاجمين القدرة على تنفيذ أوامر عن بُعد باستخدام PowerShell أو وحدة التحكم، ما يفتح الباب أمام سيطرة كاملة على الأجهزة المصابة.
أسلوب التوزيع عبر الإعلانات الخبيثة
تُوزع هذه البرمجية عبر أسلوب Malvertising، حيث يتم التلاعب بنتائج البحث المتعلقة بعبارة “Concur log in” على محركات مثل Bing لتوجيه المستخدمين إلى مواقع مزيفة. نقطة البداية تكون عبر ملف MSI Installer يقوم بنشر نسخة محمولة من متصفح Firefox داخل مجلد “LOCALAPPDATA\Programs\Firefox”، في محاولة لتجنب اكتشافه أو التداخل مع النسخ الأصلية المثبتة مسبقًا. بعد التثبيت، يتم تشغيل Firefox في وضع Headless Mode، أي دون نافذة مرئية، مما يجعل التنفيذ غير ملحوظ للمستخدم. وفي الوقت نفسه، يُفتح المتصفح الافتراضي للمستخدم ويوجه إلى الموقع الشرعي لـ Concur، لإيهامه بأن عملية التثبيت كانت ناجحة.
آلية التضليل والتشغيل الخفي
في الخلفية، يقوم البرنامج الخبيث بتعديل ملفات الإعدادات داخل مجلدات ملفات تعريف Firefox، لإجبار المتصفح على تشغيل مكتبة DLL الخاصة بالمحمّل. هذه الخطوة تتيح للبرمجية السيطرة على بيئة التشغيل دون أن يلاحظ المستخدم أي نشاط غير طبيعي. هذا الأسلوب يعكس مستوى عالٍ من الحرفية في تصميم الهجوم، حيث يتم المزج بين التمويه البصري والاختراق التقني.
ارتباطات مع مجموعة GrayAlpha (FIN7)
تحليل BlueVoyant أظهر وجود تشابهات تكتيكية وبنيوية مع مجموعة GrayAlpha المعروفة أيضًا باسم FIN7، والتي سبق رصدها وهي تستخدم مواقع مزيفة لتحديث المتصفحات كجزء من عملياتها. ويُرجح أن برمجية FireClient تمثل مكوّنًا متطورًا ضمن أدوات هذه المجموعة، في إطار حملة متعددة الأوجه تستغل برمجيات موثوقة كطُعم لإصابة المستخدمين. هذا التطور يعكس احترافية متزايدة في عالم الجريمة الإلكترونية، حيث يتم توظيف تقنيات متقدمة وأساليب خداع دقيقة لضمان نجاح الهجمات.
