كشف باحثون في الأمن السيبراني عن حملة برمجيات خبيثة متطورة تستغل الإعلانات المدفوعة على محركات البحث مثل جوجل لتسليم البرمجيات الضارة للمستخدمين الذين يبحثون عن أدوات شائعة مثل GitHub Desktop.
ورغم انتشار حملات الإعلانات الخبيثة (Malvertising) في السنوات الأخيرة، تضيف هذه الحملة لمسة جديدة: إدراج GitHub commit داخل رابط صفحة يحتوي على روابط معدلة تشير إلى بنية تحتية يسيطر عليها المهاجمون.
ووفقًا لتقرير شركة Arctic Wolf، “حتى عندما يبدو الرابط يشير إلى منصة موثوقة مثل GitHub، يمكن التلاعب بالرابط ليحوّل المستخدم إلى موقع مزيف.”
استهداف شركات تكنولوجيا المعلومات في أوروبا الغربية
تم استهداف شركات تطوير البرمجيات وتقنية المعلومات في أوروبا الغربية منذ ديسمبر 2024 على الأقل، حيث صُممت الروابط داخل GitHub commit المزيف لتوجيه المستخدمين إلى تحميل خبيث مستضاف على نطاق شبيه بالموقع الأصلي (“gitpage[.]app”).
البرمجية المرحلة الأولى وتقنية GPUGate
البرمجية الأولى التي تُرسل عبر نتائج البحث المسمومة هي ملف Microsoft Software Installer (MSI) ضخم بحجم 128 ميجابايت، ما يجعله يتجاوز معظم بيئات الفحص الأمني عبر الإنترنت.
كما تستخدم البرمجية تقنية تشفير تعتمد على وحدة معالجة الرسوميات (GPU) لفك تشفير الحمولة على الأنظمة التي تحتوي على GPU حقيقي، وقد أُطلق على هذه التقنية اسم GPUGate.
وتوضح Arctic Wolf أن “الأنظمة التي لا تحتوي على تعريفات GPU مناسبة غالبًا ما تكون أجهزة افتراضية أو بيئات اختبارية يستخدمها الباحثون الأمنيون”. كما تعتمد البرمجية على وظائف GPU لإنشاء مفتاح التشفير والتحقق من اسم جهاز GPU، وتوقف التنفيذ إذا كان اسم الجهاز أقل من 10 أحرف أو الوظائف غير متاحة.
خطوات الهجوم وتنفيذ البرمجيات الخبيثة
بعد ذلك، يتم تنفيذ سكريبت Visual Basic الذي يطلق سكريبت PowerShell، والذي يعمل بصلاحيات المدير، ويضيف استثناءات لمكافحة الفيروسات Microsoft Defender، ويضبط المهام المجدولة للاستمرار، ويشغل الملفات التنفيذية المستخرجة من أرشيف ZIP محمّل.
الهدف النهائي هو سرقة المعلومات وتسليم حمولة ثانوية، مع التهرب من الكشف. وتشير التحليلات إلى أن الفاعلين على دراية باللغة الروسية، نظرًا لوجود تعليقات مكتوبة بالروسية في سكريبت PowerShell.
تحليلات إضافية كشفت أن نطاق المهاجمين يعمل كمنصة لتحميل برمجية Atomic macOS Stealer (AMOS)، مما يشير إلى نهج عابر للمنصات.
استغلال GitHub وإعلانات جوجل لتجاوز الدفاعات
“من خلال استغلال هيكل GitHub commit واستخدام إعلانات Google، يمكن للمهاجمين تقليد مستودعات البرامج الشرعية بشكل مقنع وتحويل المستخدمين إلى حمولة خبيثة، متجاوزين تدقيق المستخدم ودفاعات نقاط النهاية”، حسب ما ذكرت Arctic Wolf.
أدوات بناء CIS وحملات Remote Access
تأتي هذه الكشفات بالتزامن مع تفاصيل Acronis حول تطور حملة Trojanized ConnectWise ScreenConnect، التي تستخدم برنامج الوصول عن بُعد لإطلاق AsyncRAT، PureHVNC RAT، وبرمجيات PowerShell مخصصة على أجهزة مصابة، مستهدفة المنظمات الأمريكية منذ مارس 2025.
البرمجية المستندة إلى PowerShell توفر وظائف أساسية مثل تشغيل البرامج، تنزيل وتشغيل الملفات، وآلية استمرار بسيطة. وأوضحت الشركة أن استخدام ClickOnce runner لبرنامج ScreenConnect بدون تكوين مدمج يجعل طرق الكشف التقليدية أقل فاعلية ويعقد الحماية، مما يترك فرق الدفاع مع خيارات محدودة وموثوقة.
