في تطور جديد يثير القلق في عالم الأمن السيبراني، كشفت تقارير استخبارات التهديدات عن حملة خبيثة تستغل أسلوب الهندسة الاجتماعية المعروف باسم ClickFix لنشر أداة تحميل برمجيات خبيثة غير موثقة سابقًا أطلق عليها اسم DeepLoad. هذه الأداة لا تكتفي بالتحايل على أنظمة الكشف، بل تتخصص في سرقة بيانات اعتماد المتصفحات وتثبيت امتدادات خبيثة، ما يجعلها تهديدًا متعدد الأوجه يصعب رصده.
تكتيك ClickFix وبداية سلسلة الهجوم
تبدأ سلسلة الهجوم عبر خداع المستخدمين لتشغيل أوامر PowerShell من خلال نافذة التشغيل في ويندوز، بزعم معالجة مشكلة غير موجودة. هذا الأسلوب يوظف أداة شرعية في النظام وهي mshta.exe لتنزيل وتشغيل محمل PowerShell مشفر. المحمل يخفي وظائفه الحقيقية بين متغيرات عديمة القيمة، في محاولة لخداع أدوات الأمن، ويُعتقد أن المهاجمين استعانوا بأدوات ذكاء اصطناعي لتطوير طبقة التمويه.
تقنيات التمويه والاندماج مع النظام
يتميز DeepLoad بقدرة عالية على الاندماج مع أنشطة ويندوز الطبيعية، إذ يخفي الحمولة داخل ملف تنفيذي شرعي باسم LockAppHost.exe المسؤول عن إدارة شاشة القفل. كما يعمد إلى تعطيل سجل أوامر PowerShell ويستدعي وظائف أساسية في النظام مباشرة لتجنب المراقبة التقليدية. ومن أبرز أساليبه أيضًا إنشاء مكتبات DLL مؤقتة بأسماء عشوائية باستخدام ميزة Add-Type في PowerShell، ما يسمح له بتجاوز أنظمة الكشف المعتمدة على أسماء الملفات.
سرقة بيانات الاعتماد والانتشار عبر الأجهزة
الهدف الأساسي لـ DeepLoad هو سرقة بيانات اعتماد المستخدمين، حيث يقوم باستخراج كلمات مرور المتصفحات وإسقاط امتداد خبيث يعترض بيانات تسجيل الدخول أثناء إدخالها. الأخطر أنه يراقب الأجهزة القابلة للإزالة مثل وحدات USB، ويزرع ملفات خبيثة بأسماء توحي بأنها برامج شرعية مثل “ChromeSetup.lnk” أو “Firefox Installer.lnk”، ما يؤدي إلى إصابة الأجهزة بمجرد النقر عليها.
آلية إعادة الإصابة عبر WMI
واحدة من أكثر ميزات DeepLoad خطورة هي استخدامه إدارة ويندوز للأدوات WMI لإعادة إصابة الأجهزة بعد ثلاثة أيام من تنظيفها، دون أي تدخل من المستخدم أو المهاجم. هذه التقنية تكسر سلاسل العمليات التي تعتمد عليها أنظمة الكشف، وتُنشئ اشتراكًا في أحداث WMI يعيد تنفيذ الهجوم بهدوء لاحقًا. هذا يضمن بقاء البرمجية الخبيثة نشطة ويصعّب مهمة فرق الأمن في القضاء عليها نهائيًا.
من خلال هذه الأساليب، يظهر DeepLoad كأداة خبيثة متعددة الأغراض قادرة على تنفيذ أنشطة ضارة عبر سلسلة القتل السيبراني، مع قدرة على التهرب من أنظمة الحماية والانتشار السريع بين الأجهزة. ورغم أن نطاق الهجمات ما زال غير معروف، إلا أن خبراء الأمن يؤكدون أن حداثة هذه البرمجية وطريقة توزيعها عبر ClickFix يمنحانها القدرة على الانتشار على نطاق واسع. كما أن بنيتها التحتية قد تشير إلى كونها جزءًا من نموذج البرمجيات الخبيثة كخدمة (MaaS)، وإن لم يتم تأكيد ذلك بشكل قاطع بعد.
في السياق ذاته، كشفت شركة G DATA عن محمل خبيث آخر باسم Kiss Loader، يُوزع عبر ملفات اختصار الإنترنت المرفقة برسائل تصيد، ويعتمد على سلسلة معقدة من السكربتات للوصول في النهاية إلى تشغيل برمجية Venom RAT باستخدام تقنية حقن APC. هذا يكشف عن سباق متسارع بين مطوري البرمجيات الخبيثة لتطوير أدوات تحميل أكثر تعقيدًا ومرونة، ما يضع المؤسسات والأفراد أمام تحديات متزايدة في حماية بياناتهم.
