حملة جديدة: OXLOADER يستغل إعلانات جوجل لنشر CastleStealer

كشف باحثو الأمن السيبراني عن تفاصيل حملة خبيثة جديدة تستخدم محمّل برمجي غير موثق سابقًا باسم OXLOADER لنشر برمجية CastleStealer، وهي أداة متخصصة في سرقة المعلومات. الحملة، التي أطلق عليها اسم REF8372، تعتمد على إعلانات غوغل المضللة كمدخل أولي لاستهداف المستخدمين.

آلية الهجوم عبر الإعلانات

تبدأ العملية عندما يبحث المستخدمون عن عبارات مثل “lts version of node.js”، ليتم توجيههم إلى موقع مزيف بعنوان node-js[.]prentiva99[.]info عبر إعلان مزور مسجّل باسم “ВОЛОДИМИР ТЕРЕЩЕНКО” يُزعم أنه من أوكرانيا. ورغم أن الحساب الإعلاني أُزيل من جوجل في 14 مايو 2026، إلا أن الحملة كانت قد نجحت في استهداف عدد من المستخدمين قبل ذلك.

استغلال خدمات شرعية

الموقع المزيف يقدّم للمستخدمين ملف Batch مستضاف على منصة Storj للتخزين السحابي اللامركزي، ما يتيح للمهاجمين تجاوز أنظمة تصنيف السمعة التقليدية. عند تشغيل الملف، يظهر واجهة تثبيت وهمية بينما يتم في الخلفية تنزيل حمولة OXLOADER عبر PowerShell وتشغيلها بصلاحيات إدارية.

تقنيات التمويه والتفادي

يستخدم OXLOADER عدة تقنيات متقدمة لإخفاء نشاطه، منها:

  • تسطيح تدفق التحكم
  • المعادلات البوليانية المختلطة
  • تعديل ذاتي لشيفرات فك التشفير
  • استغلال قسم .reloc في نظام ويندوز لزرع الشيفرة الخبيثة.

بعد ذلك، يتم تنفيذ هجوم DLL Side-Loading لتشغيل مكتبة DLL مزيفة تقوم بفك تشفير حمولة CastleStealer وتشغيلها.

CastleStealer وسوابقه

برمجية CastleStealer مكتوبة بلغة .NET وتُستخدم لسرقة بيانات حساسة مثل كلمات المرور والمعلومات الشخصية. وقد سبق توزيعها مع محمّل آخر باسم CastleLoader ضمن حملة BackgroundFix التي استغلت أدوات تحرير الصور المزيفة كطُعم. هذه الأنشطة مرتبطة بمجموعة تهديد تُعرف باسم GrayBravo.

تقييم الباحثين

أشار فريق Elastic Security Labs إلى أن OXLOADER لا يزال في مرحلة تشغيل مبكرة، لكن هندسته تعكس استثمارًا متعمدًا في تقنيات التمويه وتجنب بيئات التحليل، ما يمنحه فرصة للعمل لفترة قبل أن يتم رصده. انخفاض معدلات الكشف عبر محركات الفحص يتيح له نافذة زمنية خطيرة لتنفيذ مهامه.

محمد طاهر
محمد طاهر
المقالات: 1684

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.