تم الكشف عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين عبر إصابتهم ببرمجية تعدين العملات المشفرة SilentCryptoMiner، حيث تتنكر في هيئة أداة لتجاوز حظر الإنترنت والقيود المفروضة على الخدمات الإلكترونية.
وأوضحت شركة كاسبرسكي الروسية للأمن السيبراني أن هذه الهجمات تأتي ضمن اتجاه متزايد لدى مجرمي الإنترنت لاستخدام أدوات Windows Packet Divert (WPD) لنشر البرمجيات الخبيثة تحت غطاء برامج تجاوز القيود.
طريقة عمل الهجوم
يتم توزيع هذه البرمجيات عادةً ضمن ملفات مضغوطة تحتوي على تعليمات التثبيت، والتي تطلب من المستخدمين تعطيل برامج الحماية بحجة “الإيجابيات الكاذبة”، مما يمنح المهاجمين فرصة للبقاء داخل النظام دون اكتشافهم.
وقد تم استغلال هذه الطريقة سابقًا لنشر برمجيات سرقة البيانات، وأدوات التحكم عن بعد (RATs)، وأحصنة طروادة، وبرمجيات تعدين العملات المشفرة مثل NJRat وXWorm وPhemedrone وDCRat.
حملة تستهدف المستخدمين الروس
شهدت الحملة الأخيرة إصابة أكثر من 2,000 مستخدم روسي عبر برمجية تعدين تتنكر كأداة لتجاوز الحظر المفروض على أساس فحص الحزم العميق (DPI). تم الترويج لهذا البرنامج عبر رابط ضار على قناة يوتيوب تضم 60,000 مشترك.
وفي تصعيد جديد للأساليب التي ظهرت لأول مرة في نوفمبر 2024، قام القراصنة بانتحال صفة مطوري هذه الأدوات لإرسال إشعارات مزيفة بانتهاك حقوق النشر إلى مالكي القنوات، مهددين بإغلاقها ما لم يقوموا بنشر مقاطع فيديو تحتوي على روابط خبيثة.
وفي ديسمبر 2024، أبلغ المستخدمون عن انتشار نسخة مصابة بالتعدين من الأداة عبر قنوات تيليجرام ويوتيوب أخرى، والتي تم إغلاقها لاحقًا.
آلية عمل البرمجية
- تحتوي الملفات المصابة على ملف تنفيذي إضافي يتم تشغيله عبر PowerShell بعد تعديل أحد ملفات الدُفعات الشرعية.
- إذا تدخل برنامج الحماية وقام بحذف الملف الضار، تظهر رسالة خطأ تطلب من المستخدم إعادة تنزيل الملف وتعطيل الحماية قبل تشغيله.
- يتم تشغيل أداة تحميل مبنية على بايثون، والتي تستدعي برمجية أخرى تقوم بتنزيل حمولة SilentCryptoMiner وتثبيتها بشكل دائم.
- قبل التثبيت، تتحقق البرمجية مما إذا كانت تعمل داخل بيئة افتراضية أو صندوق رمل (Sandbox)، كما تقوم بتعديل إعدادات Windows Defender لمنع اكتشافها.
تقنيات التخفي والمراوغة
- تعتمد برمجية SilentCryptoMiner على XMRig، وهو برنامج تعدين مفتوح المصدر، ولكنها تُضَخِّم حجم الملف إلى 690 ميغابايت عبر إدراج بيانات عشوائية، مما يعقد عملية التحليل التلقائي.
- تستخدم تقنية “حشو العمليات” (Process Hollowing) لحقن شيفرتها داخل عملية نظام شرعية (dwm.exe)، مما يساعدها على التمويه.
- تتوقف البرمجية عن التعدين تلقائيًا إذا اكتشفت تشغيل برامج معينة محددة مسبقًا في التكوين.
- يمكن التحكم فيها عن بُعد عبر لوحة تحكم ويب.
جديلا بالذكر أن هذه الحملة تعكس تزايد لجوء القراصنة إلى استغلال أدوات تجاوز الحظر كغطاء لنشر البرمجيات الضارة، مع استخدام أساليب احتيال متطورة لجذب المستخدمين إلى تنزيل الملفات المصابة. يُنصح المستخدمون بعدم تعطيل برامج الحماية أو تحميل أدوات مشبوهة من مصادر غير موثوقة، خصوصًا عند التعامل مع برامج تدّعي تجاوز قيود الإنترنت.
