كشفت شركة Trend Micro عن حملة تصيّد متطورة تستهدف مؤسسات صحية وحكومية في ألمانيا وكندا، حيث يعتمد المهاجمون على إشعارات مزيفة لانتهاك حقوق الملكية الفكرية كوسيلة للإيقاع بالضحايا. يتم إرسال رسائل بريد إلكتروني خبيثة توحي بأنها إشعارات قانونية، ما يدفع المستلمين إلى تحميل ملف تنفيذي ضار مصمم خصيصًا بلغة الضحية المحلية، مما يزيد من احتمالية نجاح الهجوم.
سلسلة إصابة متعددة المراحل
بمجرد تنفيذ الملف، يبدأ تسلسل إصابة متعدد المراحل مصمم لتجنب الاكتشاف. يتضمن هذا التسلسل تنزيل حمولة مشفرة تُعرض على أنها ملف PDF، ثم يتم جلب كلمة المرور الخاصة بفك التشفير من بنية تحت سيطرة المهاجمين. بعد فك التشفير، يتم تشغيل محمل مبني بلغة Python يقوم بفك وتنفيذ برمجية PureLogs الخبيثة المكتوبة بـ .NET مباشرة في الذاكرة، مما يجعل من الصعب على أنظمة الحماية اكتشافها.
تقنيات متقدمة لتفادي الكشف
البرمجية الخبيثة تعتمد على عدة تقنيات متقدمة:
- استخدام محمل Python مع محملين إضافيين مبنيين بـ .NET لضمان التنفيذ حتى إذا تم تعطيل أحدهما.
- تنفيذ البرمجية في الذاكرة فقط دون ترك آثار على القرص، وهو ما يُعرف بالهجمات “بلا ملفات”.
- دمج تقنيات مضادة لبيئات المحاكاة الافتراضية لتفادي التحليل الآلي.
- الاستعانة بأداة WinRAR معاد تسميتها لاستخراج الملفات، مما يقلل من المؤشرات الثابتة التي يمكن أن تكشف الهجوم.
تداعيات أمنية على المؤسسات المستهدفة
هذا النوع من الهجمات يوضح مدى تطور تقنيات التصيّد الحديثة، حيث لم يعد الأمر مقتصرًا على روابط مزيفة أو صفحات تسجيل دخول وهمية، بل أصبح يعتمد على سلاسل إصابة معقدة وملفات مشفرة يصعب تحليلها. المؤسسات الصحية والحكومية المستهدفة تواجه خطرًا مباشرًا يتمثل في سرقة بيانات حساسة عبر برمجية PureLogs، التي تُعرف بقدرتها على جمع بيانات الدخول والمعلومات الشخصية من الأنظمة المصابة.
ويؤكد الخبراء أن الجمع بين التمويه القانوني، التشفير الديناميكي، والتنفيذ في الذاكرة يجعل هذه الحملة واحدة من أكثر حملات التصيّد تعقيدًا في الآونة الأخيرة.
