يوروبول تعتقل خمسة من عملاء SmokeLoader استنادًا إلى قاعدة بيانات تم الاستيلاء عليها

أعلنت السلطات الأمنية الأوروبية، بقيادة يوروبول (Europol)، عن تتبع واعتقال خمسة عملاء على الأقل من مستخدمي البرمجية الضارة الشهيرة SmokeLoader، بعد ربطهم ببيانات تم الحصول عليها من قاعدة بيانات صودرت سابقًا.

“في سلسلة من الإجراءات المنسقة، تم توقيف عدد من عملاء بوت نت SmokeLoader الذين استخدموا الخدمة للدخول غير المشروع إلى أجهزة الضحايا،” وفقًا لبيان يوروبول

ما هي SmokeLoader؟

SmokeLoader هو بوت نت خبيث يعمل بنظام الدفع مقابل التثبيت (PPI)، تم تشغيله بواسطة جهة تهديد تُعرف باسم “Superstar”. يتيح هذا البوت نت للمستخدمين تحميل برمجيات خبيثة لاحقة (Payloads) على أجهزة الضحايا، تشمل أدوات تجسس مثل:

• تسجيل ضغطات المفاتيح (Keylogging)

• الوصول إلى كاميرات الويب

• نشر برمجيات الفدية (Ransomware)

• تعدين العملات الرقمية غير المشروع

 عملية Endgame: هجوم منسق على أدوات تحميل البرمجيات الضارة

تأتي هذه الاعتقالات ضمن عملية “Endgame”، وهي حملة دولية منسقة ضد البنية التحتية للبرمجيات الخبيثة، استهدفت أدوات مثل:

• IcedID

• SystemBC

• PikaBot

• SmokeLoader

• Bumblebee

• TrickBot

وشاركت في العملية دول مثل كندا، فرنسا، ألمانيا، الدنمارك، الولايات المتحدة، التشيك وهولندا، مع تركيز على الجانب “الطلبي” في عالم الجريمة الإلكترونية.

 كيف تم تتبع العملاء؟

قامت يوروبول بتحليل قاعدة بيانات تمت مصادرتها سابقًا، ربطت بين الهويات الرقمية لهؤلاء المستخدمين وأشخاص حقيقيين. وتم استدعاؤهم للاستجواب، حيث وافق بعضهم على فحص أجهزتهم الرقمية طوعًا لتجميع الأدلة الجنائية الرقمية.

“بعض المشتبه فيهم أعادوا بيع الخدمات التي اشتروها من SmokeLoader بأسعار أعلى، مما زاد من أهمية التحقيق”، بحسب بيان يوروبول.

 تطورات أخرى: عودة أدوات تحميل البرمجيات الضارة

تتزامن هذه الحملة مع تصاعد هجمات إلكترونية تعتمد على أدوات تحميل برمجيات خبيثة جديدة، أبرزها:

 ModiLoader (المعروف أيضًا باسم DBatLoader أو NatsoLoader)

• يُوزع عبر ملفات SCR (شاشة التوقف في ويندوز)

• مكتوب بلغة Delphi

• يستهدف الضحايا عبر حملات تصيّد احتيالي متقدمة

 Legion Loader

• يُوزع عبر ملفات MSI مموهة كمثبتات برامج

• يعتمد على أسلوب “اختطاف الحافظة – Pastejacking”

• يتخطى الحماية من خلال صفحات CAPTCHA مزيفة

 Koi Loader & Koi Stealer

• تنفذ سلسلة عدوى متعددة المراحل

• تستخدم تقنيات التخفي والتحايل على بيئات التحليل (Anti-VM)

 عودة GootLoader

أُعيد اكتشاف GootLoader، المعروف أيضًا باسم SLOWPOUR، ويُستخدم لتوزيع برامج ضارة عبر نتائج البحث الممولة في Google، مستهدفًا المستخدمين الذين يبحثون عن نماذج عقود مثل “نموذج اتفاقية عدم إفشاء”.

يتم إرسال ملف مضغوط يحتوي على JavaScript خبيث، وعند تنفيذه يبدأ تحميل GootLoader.

 FakeUpdates (SocGholish) وأشكال متطورة من الهندسة الاجتماعية

اكتشفت Google حملة جديدة تستخدم JavaScript لتنفيذ هجمات تسمى:

• FAKESMUGGLES: تستخدم HTML Smuggling لنشر أدوات مثل NetSupport Manager.

• FAKETREFF: يتصل بسيرفر خارجي لجلب برمجيات خبيثة مثل DarkGate.