كشف باحثو الأمن السيبراني عن سلسلة هجوم جديدة تعتمد على أرشيفات ZIP يتم توزيعها عبر روابط مرفقات مستخدمي GitHub، حيث يتم استغلال تقنية DLL Side-Loading لتسليم محمل برمجي خبيث يُعرف باسم Direct-Sys Loader. هذا المحمل ينفذ فحوصات مضادة للتحليل قبل أن يقوم بإسقاط برمجية CGrabber Stealer.
خصائص Direct-Sys Loader
المحمل مصمم بقدرات متقدمة لتجنب الكشف، حيث يقوم بتنفيذ إجراءات مضادة للتحليل مثل التحقق من بيئات التشغيل الافتراضية أو أدوات الفحص الأمني، مما يعزز قدرته على العمل بسرية داخل النظام المستهدف. بعد تجاوز هذه الفحوصات، يقوم بتحميل برمجية CGrabber.
مهام CGrabber Stealer
البرمجية الخبيثة CGrabber تتجنب إصابة الأجهزة في دول رابطة الدول المستقلة (CIS)، وذلك لتقليل خطر جذب انتباه السلطات المحلية أو استهداف بنى تحتية مرتبطة بحلفاء المهاجمين. أما على الأجهزة الأخرى، فهي تجمع بيانات حساسة تشمل:
- بيانات اعتماد المتصفحات.
- معلومات محافظ العملات الرقمية.
- بيانات مديري كلمات المرور.
- مجموعة واسعة من ملفات التطبيقات والقطع الأثرية الرقمية.
دوافع الاستهداف وتجنب الكشف
بحسب شركة Cyderes، فإن هذا السلوك يعكس استراتيجية مدروسة لتقليل المخاطر القانونية والعملياتية، حيث يسعى المهاجمون إلى تجنب أي مواجهة مباشرة مع سلطات إنفاذ القانون في مناطقهم أو مع شركاء محتملين. في الوقت نفسه، يركزون على سرقة بيانات مالية وشخصية يمكن استغلالها في عمليات احتيال أو بيعها في الأسواق السوداء.
دلالات أمنية
يمثل Direct-Sys Loader وCGrabber Stealer نظامًا خبيثًا متكاملًا متعدد المراحل، مصممًا بقدرات عالية على التخفي وتجنب الكشف. هذا النوع من الهجمات يعكس تطورًا في بيئة البرمجيات الخبيثة، حيث يتم الجمع بين تقنيات التحميل الخفي، الفحوصات المضادة للتحليل، واستهداف انتقائي جغرافي لتحقيق أقصى استفادة مع تقليل المخاطر.
