كشف باحثو الأمن أن الحزمة الخبيثة المعروفة باسم HeartCrypt — والتي تُقدَّم كنموذج «الـ Packer-as-a-Service» — تطورت إلى محمل قابل للتخصيص يقوم بنشر برمجيات سرقة بيانات جاهزة (stealers) وبرمجيات وصول عن بُعد (RATs)، إضافة إلى أداة إنهاء مضادّي الفيروسات المعروفة باسم AVKiller. تُظهر التحليلات أن HeartCrypt لا يكتفي بإخفاء البرمجيات الخبيثة، بل يُعدّل ملفات تنفيذية شرعية عن طريق حقن شيفرات تحميل موضعي وإضافة موارد مشفّرة ضمن بنية ملفات PE لزيادة قدرة التخفي وتجاوز أنظمة الكشف.
طريقة الهجوم: رسائل تصيّد وإحالة عبر LNK وPowerShell وDropbox
تُوزَّع العيّنات المصابة عبر حملات تصيّد تستهدف ضحايا محدّدين؛ استُخدمت رسائل تدّعي إخطارَ انتهاك لحقوق الطبع والنشر لاستدراج مستهدَفين في إيطاليا. يعتمد التسلسل العدائي على ملفات LNK تحتوي رابطاً يستدعي حمولة PowerShell مرحلية تقوم بعرض ملف مُموّه كمستند بينما في الخلفية تُحمَّل نسخة HeartCrypt من خدمة استضافة سحابية مثل Dropbox. هذه التقنية تُمكّن المهاجم من تقديم طُعم مرئي للضحية مع تنفيذ سلسلة تحميل خفيّة تؤدي في النهاية إلى إطلاق السرّاق أو الـRAT.
كيف يعمل HeartCrypt: حقن وتحميل موارد مشفرة داخل ملفات شرعية
يأخذ HeartCrypt ملفات تنفيذية قانونية ويُعدّل قسم .text بحقن شيفرة تحميل موضعي قرب نقطة الدخول، ويُدرج موارد إضافية بصيغة Portable Executable مخفية على شكل ملفات بيت ماب — تبدأ بهيئة رأس BMP ثم تليها بيانات مشفرة في الواقع. عند التنفيذ يُفكّ المشفّر ثم يُستخرج الحمولة الحقيقية ويُنفّذها في الذاكرة، ما يقلل الآثار على القرص ويزيد صعوبة التحليل الثابت. هذا الأسلوب سمح لعينات HeartCrypt بأن تكون وسيلة فعالة لتوزيع حمولات متنوعة عبر عائلات برمجية جاهزة.
الخلفيات العملية ومخاطر تعطل حلول الحماية (EDR/AV)
تصاعدت مخاطر استخدام أدوات إنهاء مضادّي الفيروسات داخل سياقات الابتزاز والبرمجيات الخبيثة؛ إذ تُستخدم أدوات مثل AVKiller لإغلاق خدمات وحِزم الحماية قبل نشر الحمولة الأساسية، ما يسهّل نجاح عمليات السرقة أو التغلغل. اعتماد المهاجمين على HeartCrypt كخدمة يسرّع دورة الهجوم ويُخفض الحاجة لبناء أدوات متقنة لدى كل جهة تهديد، ما يعزّز انتشار قدرات تعطيل الحماية بين مجموعات فاعلة متعددة. من جهة الدفاع، يوجب هذا التركيز على كشف سلاسل التحميل بدلاً من الاعتماد الحصري على التوقيعات.
توصيات فنية سريعة للمؤسسات
-
منع تنفيذ ملفات LNK الواردة عبر البريد الإلكتروني أو المرفقات غير الموثوقة، وتعطيل تنفيذ الاختصارات عندما لا تكون ضرورية.
-
تقييد قدرات PowerShell عبر سياسات مثل AppLocker أو تشغيله في وضع لغة مقيدة (Constrained Language)، أو منع تنفيذ الأوامر المحمّلة من الإنترنت.
-
مراقبة الاتصالات إلى خدمات استضافة سحابية عامة من نقاط نهاية لا تتطلب مثل هذه الاتصالات في سير العمل.
-
اعتماد آليات حماية سلوكية تراقب التنفيذ في الذاكرة وسلوك العمليات بدلاً من التوقيع فقط، وتحديث سياسات منع/كشف محاولات إنهاء خدمات الحماية.
-
إجراء اختبارات محاكاة هجوم (red teaming) تركز على سلاسل التحميل عبر LNK وحقن موارد PE المموهة.
