أدوات ذكاء اصطناعي مزيفة تستخدم لنشر برمجيات خبيثة

أدوات ذكاء اصطناعي مزيفة تستخدم لنشر برمجيات خبيثة
أدوات ذكاء اصطناعي مزيفة تستخدم لنشر برمجيات خبيثة
شارك هذا الخبر

لوحظ أن جهات تهديد تستخدم أدوات مزيفة تعمل بالذكاء الاصطناعي كطعم لجذب المستخدمين لتنزيل برمجية خبيثة تسرق البيانات تُعرف باسم “نودلوفيل” (Noodlophile).

وبدلاً من الاعتماد على أساليب التصيد التقليدية أو مواقع البرمجيات المقرصنة، يقوم المهاجمون بإنشاء منصات مقنعة ذات طابع ذكاء اصطناعي — غالباً ما يتم الترويج لها عبر مجموعات فيسبوك تبدو شرعية وحملات viral على وسائل التواصل الاجتماعي.

ووفقاً لتقرير نشره باحث “مورفيسيك” (Morphisec) الأسبوع الماضي، فإن المنشورات المشتركة على هذه الصفحات تجذب أكثر من 62,000 مشاهدة لمنشور واحد، مما يشير إلى أن المستخدمين الذين يبحثون عن أدوات ذكاء اصطناعي لتحرير الفيديو والصور هم الهدف الرئيسي لهذه الحملة. ومن بين الصفحات المزيفة التي تم تحديدها:

  • Luma Dreammachine Al

  • Luma Dreammachine

  • gratistuslibros

يتم حث المستخدمين الذين يصلون إلى هذه المنشورات على النقر على روابط تروج لخدمات إنشاء محتوى مدعومة بالذكاء الاصطناعي، مثل مقاطع الفيديو والشعارات والصور وحتى مواقع الويب. أحد المواقع المزيفة يتظاهر بأنه “CapCut AI”، ويقدم للمستخدمين “محرر فيديو متكامل مع ميزات جديدة للذكاء الاصطناعي”.

آلية الهجوم الإلكتروني

عندما يقوم المستخدمون بتحميل صورهم أو مقاطع الفيديو على هذه المواقع، يُطلب منهم تنزيل المحتوى الذي من المفترض أن يكون منشأً بالذكاء الاصطناعي، ولكن بدلاً من ذلك يتم تنزيل ملف ZIP خبيث (“VideoDreamAI.zip”).

يحتوي الملف على ملف خادع باسم “Video Dream MachineAI.mp4.exe”، والذي يبدأ سلسلة العدوى عن طريق تشغيل ملف ثنائي شرعي مرتبط بمحرر الفيديو “CapCut.exe” التابع لـ ByteDance. يستخدم هذا الملف القابل للتنفيذ (المكتوب بلغة C++) لتحميل ملف “.NET” يُسمى “CapCutLoader”، والذي بدوره يحمل حمولة Python (“srchost.exe”) من خادم بعيد.

تقوم هذه الحمولة بتمهيد الطريق لنشر برمجية “نودلوفيل”، التي تتمتع بقدرات سرقة بيانات اعتماد المتصفح، ومعلومات محافظ العملات المشفرة، وغيرها من البيانات الحساسة. كما تم دمج البرمجية الخبيثة في بعض الحالات مع حصان طروادة للوصول عن بُعد مثل “XWorm” لضمان وصول دائم إلى الأجهزة المصابة.

المطور وراء الهجوم

يُعتقد أن مطور “نودلوفيل” من أصل فيتنامي، حيث يدعي في ملفه الشخصي على GitHub أنه “مطور برمجيات خبيثة شغوف من فيتنام”. تم إنشاء الحساب في 16 مارس 2025، وتجدر الإشارة إلى أن فيتنام تشهد نظاماً إيكولوجياً مزدهراً للجرائم الإلكترونية، مع تاريخ طويل في توزيع عائلات برمجيات سرقة البيانات التي تستهدف فيسبوك.

استغلال الاهتمام العام بالذكاء الاصطناعي

ليست هذه المرة الأولى التي يستغل فيها المجرمون الاهتمام العام بتقنيات الذكاء الاصطناعي. ففي 2023، أعلنت Meta أنها حذفت أكثر من 1000 رابط خبيث من خدماتها، حيث تم استخدام ChatGPT التابع لـ OpenAI كطعم لنشر حوالي 10 عائلات من البرمجيات الخبيثة منذ مارس 2023.

ظهور برمجية خبيثة جديدة: PupkinStealer

في سياق متصل، كشفت شركة الأمن السيبراني CYFIRMA عن برمجية خبيثة جديدة مكتوبة بلغة .NET تُعرف باسم “PupkinStealer”، والتي يمكنها سرقة نطاق واسع من البيانات من أنظمة Windows المصابة وإرسالها إلى بوت Telegram يتحكم فيه المهاجم.

وأوضحت الشركة: “بدون وجود دفاعات محددة ضد التحليل أو آليات استمرارية متطورة، تعتمد PupkinStealer على تنفيذ مباشر وسلوك منخفض الظهور لتجنب الكشف أثناء عملها. إنها مثال على برمجية سرقة بيانات بسيطة لكنها فعالة، تستخدم سلوكيات نظام شائعة ومنصات مستخدمة على نطاق واسع لتصدير المعلومات الحساسة.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 278

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة