سلسلة VEIL#DROP: استغلال منصة Blogger لنشر برمجية PureLogs

صد باحثو الأمن السيبراني سلسلة هجمات جديدة متعددة المراحل تحمل اسم VEIL#DROP، تستغل منصات موثوقة مثل Blogger لنشر برمجية خبيثة تُعرف باسم PureLogs Stealer. هذه البرمجية، التي تُباع وفق نموذج “البرمجيات كخدمة” (MaaS) من قبل جهة تهديد تُدعى PureCoder، تستهدف جمع بيانات حساسة من الأجهزة المصابة عبر تقنيات متقدمة للإخفاء والتفادي.

بداية السلسلة: ملفات JavaScript متخفية

تبدأ العدوى بملف JavaScript يحمل اسمًا مضللًا مثل transcript.pdf.js، يُنفذ عبر Windows Script Host ويطلق أوامر PowerShell مع تجاوز سياسات التنفيذ. هذه الأوامر تستدعي حمولة ثانية مخزنة على مدونة في Blogger، مما يسمح للمهاجمين بالاستفادة من البنية التحتية الموثوقة لجوجل لتجاوز أنظمة الحماية القائمة على السمعة.

تقنيات الإخفاء والتفادي

الحمولة المستدعَاة تعرض صفحة ويب عادية مثل Google لإيهام الضحية بفتح ملف PDF، بينما تستمر عملية العدوى في الخلفية. بعد ذلك، يقوم السكربت بتنفيذ سلسلة من الإجراءات:

  • حذف ملف transcript.pdf.js لإخفاء الأدلة.
  • إنهاء عمليات مثل wscript.exe لتقليل الآثار الجنائية.
  • فك تشفير الحمولة باستخدام XOR، ثم توليد مراحل ديناميكية جديدة مع تحوير وقت التشغيل (Runtime Mutation) لتغيير القيم والسلاسل بشكل عشوائي، مما يعطل التواقيع الرقمية ويمنع الكشف عبر بصمات الملفات.

كما يتم إنشاء روابط Blogger جديدة في كل عملية تشغيل عبر إدخال عدد عشوائي من الشرطات المائلة (“/”) في الرابط، لتجاوز أنظمة الحجب القائمة على مؤشرات ثابتة.

تحميل برمجي خفي عبر الذاكرة

المرحلة النهائية تُنفذ بالكامل في الذاكرة دون ترك آثار على القرص، باستخدام تقنية Reflective Code Loading لتشغيل تجميعات .NET مباشرة. وفي حال فشل التنفيذ، يعتمد البرنامج على أدوات موقعة من مايكروسوفت مثل regsvcs.exe وinstallutil.exe وmsbuild.exe وaspnet_compiler.exe، وهو ما يُعرف بأسلوب Living-off-the-land (LoLBins)، الذي يُخفي النشاط الخبيث تحت غطاء أدوات شرعية.

التأثيرات الأمنية

برمجية PureLogs Stealer قادرة على جمع بيانات واسعة تشمل كلمات المرور، الجلسات النشطة، بيانات النظام، والمعلومات المخزنة في المتصفحات. هذه البيانات تُستخدم لاحقًا للتنقل الأفقي داخل الشبكات، إنشاء نقاط ثبات، أو حتى اختراق البنية السحابية للمؤسسات المستهدفة.

ويؤكد الباحثون أن الجمع بين ملفات متعددة الامتدادات، خدمات سحابية موثوقة، حمولة مشفرة، تنفيذ بلا ملفات، وتقنيات LoLBins يعكس تصميمًا متعمدًا لتجاوز أنظمة مكافحة الفيروسات التقليدية وتقليل الأدلة الجنائية، مما يجعل سلسلة VEIL#DROP واحدة من أكثر الحملات تعقيدًا في المشهد السيبراني الحالي.

محمد طاهر
محمد طاهر
المقالات: 1720

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.