برنامج خبيث متطور يتهرب من أنظمة الاكتشاف الأمني

برنامج خبيث متطور يتهرب من أنظمة الاكتشاف الأمني
برنامج خبيث متطور يتهرب من أنظمة الاكتشاف الأمني
شارك هذا الخبر

كشف باحثو أمن المعلومات عن برنامج خبيث جديد متطور يُدعى CoffeeLoader مصمم لتنزيل وتنفيذ حمولات ثانوية. وفقاً لشركة Zscaler ThreatLabz، يشارك هذا البرنامج الخبيث أوجه تشابه سلوكية مع برنامج تحميل ضار آخر معروف باسم SmokeLoader.

آلية عمل CoffeeLoader الخبيثة

قال بريت ستون-جروس، المدير الأول لاستخبارات التهديدات في Zscaler: “الغرض من هذا البرنامج الضار هو تنزيل وتنفيذ حمولات المرحلة الثانية مع تفادي اكتشافه بواسطة منتجات الأمان المستندة إلى نقاط النهاية”.

التقنيات المتقدمة للتهرب من الاكتشاف:

  • حزمة Armoury المتخصصة التي تستخدم وحدة معالجة الرسومات (GPU)
  • تزيف سجل المكالمات (Call stack spoofing)
  • إرباك فترات السكون (Sleep obfuscation)
  • استخدام ألياف ويندوز (Windows fibers)

التفاصيل التقنية للهجوم

ظهر CoffeeLoader لأول مرة حوالي سبتمبر 2024، ويستخدم خوارزمية توليد نطاقات (DGA) كآلية احتياطية في حالة تعذر الوصول إلى قنوات القيادة والتحكم (C2) الرئيسية.

حزمة Armoury الأساسية:

  • تنفذ التعليمات البرمجية على GPU النظام لتعقيد التحليل في البيئات الافتراضية
  • تحاكي الأداة الشرعية Armoury Crate المطورة من قبل ASUS

مراحل العدوى:

  1. برنامج الإسقاط (Dropper) يحاول تنفيذ حمولة DLL مع امتيازات مرتفعة
  2. محاولة تجاوز تحكم حساب المستخدم (UAC) إذا لزم الأمر
  3. إنشاء مهمة مجدولة للاستمرارية (تشتغل عند تسجيل الدخول أو كل 10 دقائق)
  4. تنفيذ مكون Stager الذي يحمل الوحدة الرئيسية

تقنيات التخفي المتقدمة

تستخدم الوحدة الرئيسية تقنيات متطورة لتفادي الاكتشاف من قبل:

  • برامج مكافحة الفيروسات (AV)
  • أنظمة اكتشاف الاستجابة لنقاط النهاية (EDRs)

هذه التقنيات تمكن البرنامج الخبيث من:

  • تزيف سجل المكالمات لإخفاء أصل استدعاء الوظيفة
  • إرباك الحمولة أثناء حالة السكون
  • تجنب الاكتشاف بواسطة البرامج الأمنية

الهدف النهائي

يتصل CoffeeLoader بخادم C2 عبر HTTPS للحصول على برنامج ضار للمرحلة التالية، بما في ذلك أوامر لحقن وتنفيذ شل كود Rhadamanthys.

الصلة مع SmokeLoader

حددت Zscaler العديد من أوجه التشابه بين CoffeeLoader وSmokeLoader على مستوى الكود المصدري، مما يثير احتمال أن يكون CoffeeLoader التكرار الرئيسي التالي لـSmokeLoader، خاصة بعد الجهود التي بذلتها إنفاذ القانون العام الماضي والتي أسقطت بنيته التحتية.

حملات ضارة ذات صلة

كشفت Seqrite Labs عن حملة تصيد احتيالي تبدأ سلسلة عدوى متعددة المراحل تقوم بإسقاط برنامج خبيث لسرقة المعلومات يُدعى Snake Keylogger.

كما تم رصد نشاط آخر يستهدف مستخدمي تداول العملات المشفرة عبر منشورات Reddit التي تروج لإصدارات مخترقة من TradingView لخداع المستخدمين لتركيب برامج سرقة مثل Lumma وAtomic على أنظمة Windows وmacOS.

 

وسوم
محمد طاهر
محمد طاهر
المقالات: 134

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة