كشفت شركة Malwarebytes عن حملة خبيثة تستغل موقعًا مزيفًا ينتحل هوية منصة الذكاء الاصطناعي Claude التابعة لشركة Anthropic، حيث يقوم الموقع بتوزيع نسخة مزيفة من التطبيق عبر أرشيف ZIP. عند تثبيت النسخة، يعمل التطبيق بشكل طبيعي كما هو متوقع، لكنه في الخلفية ينفذ سلسلة عدوى تؤدي إلى تثبيت برمجية PlugX، وهي أداة معروفة تمنح المهاجمين وصولًا عن بُعد إلى النظام المصاب.
تقنية DLL Side-Loading
البرمجية الخبيثة تعتمد على تقنية DLL Side-Loading، وهي أسلوب شائع بين مجموعات القرصنة الصينية، حيث يتم تحميل مكتبات DLL خبيثة بجانب ملفات شرعية لتجاوز أنظمة الحماية. هذه التقنية تتيح للبرمجية العمل دون إثارة الشبهات، مما يجعلها وسيلة فعالة لنشر البرمجيات الضارة في بيئات مختلفة.
انتشار PlugX واستخدامه من قبل جهات متعددة
برمجية PlugX ليست جديدة في عالم التهديدات السيبرانية، إذ ارتبطت تاريخيًا بمجموعات قرصنة صينية، لكنها لم تعد حكرًا عليهم. فقد تسربت شيفرتها المصدرية إلى منتديات تحت الأرض، ما سمح لمهاجمين آخرين باستخدامها وتطوير نسخ خاصة بهم. هذا الانتشار يزيد من خطورة الهجمات، إذ يمكن لمجموعة واسعة من الجهات استغلالها في عمليات تجسس أو سرقة بيانات.
تداعيات أمنية
الهجوم يسلط الضوء على خطورة الهجمات التي تستغل الثقة في العلامات التجارية الكبرى، حيث يتم خداع المستخدمين عبر مواقع مزيفة تبدو شرعية. هذه الأساليب تجعل من الصعب على المستخدمين التمييز بين النسخ الأصلية والمزيفة، وتؤكد الحاجة إلى التحقق الدائم من مصادر التنزيل الرسمية، خاصة عند التعامل مع تطبيقات الذكاء الاصطناعي أو البرمجيات واسعة الاستخدام.
