كشف باحثو الأمن السيبراني عن حملة خبيثة جديدة تستغل تقنيات الإعلانات المضللة (Malvertising) لنشر إطار عمل برمجي ضار متعدد المراحل يُعرف باسم PS1Bot.
برمجية متعددة المهام بتصميم معياري
أوضح باحثو شركة Cisco Talos أن PS1Bot يتميز بتصميم معياري يتيح نشر عدة وحدات خبيثة لتنفيذ أنشطة متنوعة على الأجهزة المصابة، من أبرزها:
-
سرقة المعلومات الحساسة.
-
تسجيل ضربات لوحة المفاتيح.
-
إجراء استطلاع شامل على النظام.
-
إنشاء وصول مستمر إلى الأجهزة.
وأشار الباحثون إلى أن البرمجية صُممت بعناية لتحقيق التخفي، إذ تقلل من الآثار المتبقية على الأنظمة وتستغل تقنيات التنفيذ في الذاكرة لتشغيل الوحدات دون الحاجة إلى حفظها على القرص.
أسلوب العدوى وتقاطع مع برمجيات خبيثة سابقة
أظهرت التحقيقات أن حملات نشر PS1Bot انطلقت منذ مطلع عام 2025، معتمدة على الإعلانات المضللة والتسميم عبر تحسين محركات البحث (SEO poisoning) كوسائل لنشر العدوى. وتنفذ السلاسل الخبيثة وحداتها داخل الذاكرة لتقليل إمكانية تتبعها.
كما تبين أن البرمجية تشترك في سمات تقنية مع AHK Bot، وهي برمجية خبيثة تعتمد على AutoHotkey سبق أن استخدمتها مجموعات تهديد مثل Asylum Ambuscade و TA866. كذلك رُصد تقاطع في النشاط مع حملات برامج الفدية التي استغلت برمجية Skitnet (المعروفة أيضًا باسم Bossnet) لسرقة البيانات والتحكم عن بُعد بالأجهزة المخترقة.
مراحل الهجوم وآليات التنفيذ
تنطلق الهجمات من ملف مضغوط يتم تسليمه عبر الإعلانات المضللة أو نتائج البحث المسمومة، ويحتوي على ملف JavaScript يعمل كأداة تنزيل لجلب تعليمات خبيثة من خادم خارجي. هذه التعليمات تولد سكربت PowerShell يُخزَّن على القرص ويُنفَّذ مباشرة.
يقوم السكربت بالتواصل مع خادم القيادة والسيطرة (C2) لتنزيل أوامر إضافية تعمل كوحدات خبيثة، أبرزها:
-
الكشف عن برامج الحماية: تحديد وإرسال قائمة برامج مكافحة الفيروسات المثبتة.
-
التقاط الشاشة: أخذ لقطات للشاشة وإرسالها للخادم المهاجم.
-
سرقة محافظ العملات الرقمية: استخراج البيانات من المتصفحات والإضافات الخاصة بالمحافظ، بالإضافة إلى الملفات التي تحتوي على كلمات مرور أو عبارات استرداد.
-
تسجيل ضربات المفاتيح: مراقبة ما يكتبه المستخدم وسحب محتوى الحافظة.
-
جمع المعلومات: إرسال بيانات مفصلة حول النظام وبيئة التشغيل.
-
الحفاظ على الاستمرارية: إنشاء سكربت PowerShell يضمن التشغيل التلقائي عند إعادة تشغيل النظام، مع استمرار التواصل مع خادم C2 لجلب الوحدات الجديدة.
ووفقًا لـ Cisco Talos، يعتمد وحدة سرقة البيانات على قوائم مدمجة داخلها لفحص الملفات بحثًا عن كلمات مرور وعبارات استرداد محافظ العملات الرقمية، في محاولة لتهريبها إلى الخوادم المهاجمة.
تهديدات مرنة وتحديثات سريعة
أكد الباحثون أن الطبيعة المعيارية للبرمجية تمنح المهاجمين مرونة كبيرة، حيث يمكنهم تحديث وظائفها أو إضافة وحدات جديدة بسرعة لتوسيع قدراتها.
تحركات جوجل لمكافحة الإعلانات المضللة
تأتي هذه التطورات في الوقت الذي أعلنت فيه جوجل أنها باتت تستعين بأنظمة ذكاء اصطناعي مدعومة بنماذج لغوية ضخمة (LLMs) لتعزيز مكافحة الزيارات غير الصالحة (IVT) والتعرف بشكل أدق على الإعلانات المضللة. وأكدت الشركة أن هذه التقنيات حسّنت من قدرات مراجعة المحتوى بنسبة 40%، مما ساعد على تقليص الممارسات الاحتيالية في عرض الإعلانات.
