رصد باحثو الأمن حملة عالمية تستخدم تطبيقات تبدو شرعية — وغالبًا ما تُسوَّق على أنها أدوات إنتاجية أو تطبيقات معزّزة بالذكاء الاصطناعي — كغطاء لتوزيع برمجيات خبيثة تُهيّئ لاحقًا هجمات ضد مؤسسات في أوروبا والأمريكيتين ومنطقة آسيا والشرق الأوسط وأفريقيا. وحددت Trend Micro قطاعات مستهدفة تشمل التصنيع والحكومات والرعاية الصحية والتكنولوجيا والتجزئة، وكانت البلدان الأكثر إصابةً هند، الولايات المتحدة، فرنسا، إيطاليا، البرازيل، ألمانيا، المملكة المتحدة، النرويج، إسبانيا وكندا. ووصف الباحثون العملية المسماة EvilAI بأنها حملة نشطة ومتطورة تهدف إلى طمس الحدود بين البرمجيات الحقيقية والمزيفة لتسهيل نشر البرمجيات الضارة.
واجهات محترفة وتوقيعات رقمية مزيفة لإخفاء النوايا الخبيثة
تُعرض التطبيقات المصابة بواجهات مستخدم احترافية وتستخدم شهادات توقيع رقمي صادرة باسم شركات مؤقتة تُلغى لاحقًا، ما يصعّب على المستخدمين وأدوات الحماية التمييز بينها وبين البرامج الحقيقية. من بين البرامج التي وُظفت كقنطرة لتوزيع البرمجيات الخبيثة: AppSuite وEpi Browser وJustAskJacky وManual Finder وOneStart وPDF Editor وRecipe Lister وTampered Chef. وأظهرت تحليلات من فرق مثل Expel وG DATA وTRUESEC وجود بنية تحتية خدمية مشتركة تُستخدم لتوزيع وتكوين هذه البرامج، كما أن بعض الحزم تُسنَد إلى نفس الجهات الفاعلة خلف حملات متشابهة.
أهداف وسلوكيات خبيثة متقدمة تشمل التصيّد واستخراج البيانات
تستهدف حملة EvilAI إجراء استطلاع موسع للنظام، وسرقة بيانات المتصفح الحساسة، وإقامة قناة اتصال مشفرة في الزمن الحقيقي مع خوادم القيادة والتحكم (C2) عبر تشفير AES لاستلام أوامر المهاجمين ونشر أحمال لاحقة. تعمل هذه البرامج كمرحلة تمهيدية (stager) للحصول على وصول أولي، وإرساء الثبات، وإعداد الجهاز لتنفيذ أحمال إضافية مع محاولة التحقق من وجود برامج الحماية وتعطيل أو عرقلة تحليلاتها. تُستخدم طرق انتشار متعددة مثل مواقع ويب مُسجّلة حديثًا مقلِّدة لبوابات البائعين، إعلانات خبيثة، تلاعب نتائج البحث (SEO)، وروابط تحميل مروّجة في المنتديات ووسائل التواصل الاجتماعي.
تقنيات إخفاء متطورة وتوصيات الدفاع
استفاد المهاجمون من تقنيات متقدمة لتفادي الكشف، منها استخدام NeutralinoJS لتنفيذ شيفرات JavaScript والتفاعل مع واجهات النظام الأصلية، وتشفير الحمولة باستخدام محارف متشابهة (Unicode homoglyphs) لإخفاء النصوص داخل استجابات تبدو عادية، فضلاً عن الدور الواضح لسوق شهادات التوقيع أو مزود خدمة برمجيات خبيثة كخدمة (MaaS) في تسهيل الانتشار. أكدت شركات أمنية أن بعض العينات استخدمت عشرات شهادات توقيع صادرة بأسماء شركات في بنما وماليزيا وأماكن أخرى لجعل الثنائيات تبدو موثوقة. توصي تقارير التحليل بالمزيد من الحذر تجاه تحميل وتثبيت برامج خارج قنوات موثوقة، التحقق من صحة التوقيعات الرقمية، مراقبة سلوك التطبيقات بعد التثبيت (مثل نشاط الشبكة غير المتوقع أو الوصول إلى أنظمة الملفات)، واعتماد فحوص طبقية لسلاسل التوريد البرمجية للتأكد من سلامة الحزم قبل نشرها في بيئات الشركات.
