تم اكتشاف حملة برمجيات ضارة جديدة تعتمد على تكتيكات الهندسة الاجتماعية لنشر rootkit مفتوح المصدر يُعرف باسم r77. أطلق الباحثون الأمنيون في Securonix على هذه الحملة اسم OBSCURE#BAT، والتي تمكن المهاجمين من إنشاء استمرارية في الأنظمة المخترقة وتجنب الاكتشاف. ولم يتم الكشف عن الجهة التي تقف وراء هذه الحملة حتى الآن.
كيف يعمل البرنامج الضار؟
وفقًا لتقرير شاركه الباحثان الأمنيان دين إيوزفيك وتيم بيك مع موقع The Hacker News، فإن الـ rootkit لديه “القدرة على إخفاء أي ملف أو مفتاح تسجيل أو مهمة تبدأ ببادئة محددة”. ويستهدف البرنامج الضار المستخدمين من خلال التمويه كتنزيلات برمجيات شرعية أو عبر صفحات CAPTCHA مزيفة تُستخدم في عمليات التصيد الاحتيالي.
المناطق المستهدفة:
تركز الحملة بشكل رئيسي على الأفراد الناطقين باللغة الإنجليزية، وخاصة في الولايات المتحدة وكندا وألمانيا والمملكة المتحدة.
تفاصيل الهجوم:
يحمل البرنامج الضار اسم OBSCURE#BAT بسبب بداية الهجوم التي تعتمد على نص batch معقد على نظام Windows، والذي بدوره ينفذ أوامر PowerShell لتفعيل عملية متعددة المراحل تنتهي بنشر الـ rootkit.
تم تحديد طريقتين رئيسيتين للوصول الأولي إلى الضحايا:
- استراتيجية ClickFix: يتم توجيه المستخدمين إلى صفحة تحقق مزيفة من Cloudflare CAPTCHA.
- الإعلان عن البرامج الضارة كأدوات شرعية: مثل متصفح Tor، برامج VoIP، وبرامج المراسلة.
آلية العمل:
بغض النظر عن الطريقة المستخدمة، فإن الحمولة الأولية هي أرشيف يحتوي على نص batch، والذي يستدعي أوامر PowerShell لإسقاط نصوص إضافية، وإجراء تعديلات على سجل Windows، وإنشاء مهام مجدولة لضمان الاستمرارية.
وأوضح الباحثون أن “البرنامج الضار يخزن نصوصًا معقدة في سجل Windows ويضمن تنفيذها عبر مهام مجدولة، مما يسمح له بالعمل بشكل خفي في الخلفية”. بالإضافة إلى ذلك، يقوم البرنامج بتعديل مفاتيح سجل النظام لتسجيل برنامج تشغيل مزيف (ACPIx86.sys)، مما يعمق من اختراقه للنظام.
تفاصيل تقنية:
خلال الهجوم، يتم نشر حمولة .NET تستخدم مجموعة من الحيل لتجنب الاكتشاف، بما في ذلك تعقيد تدفق التحكم، تشفير السلاسل، واستخدام أسماء وظائف تحتوي على أحخاص عربية وصينية وأحخاص خاصة.
كما يتم تحميل حمولة أخرى عبر PowerShell تستخدم تعديلات واجهة Antimalware Scan Interface (AMSI) لتجاوز اكتشافات برامج مكافحة الفيروسات.
الـ Rootkit:
الحمولة النهائية مسؤولة عن إسقاط rootkit يعمل في وضع النظام ويُسمى ACPIx86.sys في مجلد C:\Windows\System32\Drivers**، والذي يتم تشغيله كخدمة. كما يتم تسليم rootkit يعمل في وضع المستخدم يُعرف باسم r77 لضمان الاستمرارية على الجهاز وإخفاء الملفات والعمليات ومفاتيح التسجيل التي تطابق النمط ($nya-**).
مراقبة النشاط:
يقوم البرنامج الضار بمراقبة نشاط الحافظة وسجل الأوامر بشكل دوري وحفظها في ملفات مخفية، مما يشير إلى احتمال تسريب هذه البيانات.
كلمة أخيرة:
قال الباحثون: “يُظهر OBSCURE#BAT سلسلة هجوم عالية التخفي، تعتمد على التعقيد والتقنيات الخفية وربط واجهات برمجة التطبيقات (API) لضمان الاستمرارية على الأنظمة المخترقة مع تجنب الاكتشاف”.
خلفية الأحداث:
تأتي هذه الاكتشافات في وقت كشفت فيه Cofense عن حملة تزوير لـ Microsoft Copilot تستخدم رسائل التصيد الاحتيالي لتوجيه المستخدمين إلى صفحة وهمية مصممة لجمع بيانات الاعتماد ورموز المصادقة الثنائية (2FA).
