Netcrook Logo
👤 CRYSTALPROXY
🗓️ 06 Jan 2026   🌍 Europe

حصان طروادة في صندوق الوارد: كيف يُخفي مجرمو الإنترنت البرمجيات الخبيثة داخل ملفات يومية

العنوان الفرعي: موجة جديدة من هجمات التصيّد الموجّه تستغل مُحمِّلات جاهزة وتقنيات الإخفاء داخل الملفات للتسلّل إلى شبكات صناعية وحكومية حول العالم.

تبدأ برسالة بريد إلكتروني بسيطة - أمر شراء عاجل، أو طلب روتيني. لكن خلف واجهة «سير العمل المعتاد»، تتكشف بهدوء هجمة سيبرانية متقدمة تستهدف بعض أكثر أنظمة التصنيع والحكومة حساسية في العالم. وقد تتبّع المحققون حملة جديدة يُسلّح فيها المجرمون الرقميون مُحمِّلات شائعة ويُخفون الشيفرة الخبيثة على مرأى من الجميع، كاشفين عن تطور مقلق في تكتيكات الجريمة السيبرانية.

داخل الهجوم: مُحمِّلات جاهزة وحمولات مخفية

وفقًا لمختبرات Cyble للأبحاث والاستخبارات (CRIL)، فهذه الحملة ليست عادية على الإطلاق. فبدلًا من الاعتماد على برمجيات خبيثة مُصمَّمة خصيصًا، يتشارك الفاعلون مُحمِّلًا جاهزًا - قطعة شيفرة معيارية متاحة في أوساط الجريمة السيبرانية تحت الأرض. هذا المُحمِّل ليس حكرًا على جهة بعينها؛ إذ ارتبط بعدة عائلات من البرمجيات الخبيثة، ما يشير إلى منظومة مزدهرة لـ«البرمجيات الخبيثة كخدمة».

سلسلة الهجوم مُحكمة التصميم لتحقيق التخفي. يتلقى الضحايا رسائل تصيّد متنكرة كأوامر شراء شرعية، مع مرفقات بصيغة RAR أو ZIP. وبمجرد فتحها، تُطلق هذه الأرشيفات عملية عدوى متعددة المراحل. الضربة الأولى: ملف JavaScript شديد الإخفاء يستخدم «أدوات إدارة ويندوز» (WMI) لتشغيل عملية PowerShell بهدوء.

لكن الخدعة الحقيقية تكمن في الخطوة التالية. يقوم السكربت بتنزيل صورة تبدو بريئة من Archive.org. وداخل بيانات بكسلاتها - بفضل تقنية تُسمّى الإخفاء داخل الملفات (Steganography) - توجد تجميعة .NET تحمل البرمجية الخبيثة الفعلية. ومن خلال استخراج الحمولة في الذاكرة، يتجنب المهاجمون ترك آثار على القرص، ما يجعل الاكتشاف أصعب بكثير.

ولا تتوقف العملية عند هذا الحد. إذ يقوم المُحمِّل بحقن نسخة مفخخة انعكاسيًا من مكتبة TaskScheduler مفتوحة المصدر، والتي تقوم بدورها بفك ترميز حمولات إضافية وحقنها داخل عمليات ويندوز الموثوقة. ويتيح هذا «تفريغ العملية» (Process Hollowing) لبرمجيات مثل PureLog Stealer العمل تحت غطاء ثنائيات نظام شرعية، متجاوزةً كثيرًا من وسائل الدفاع التقليدية.

وبمجرد ترسّخها، تحصد البرمجية الخبيثة كل شيء بدءًا من كلمات مرور المتصفح وصولًا إلى محافظ العملات المشفّرة وإعدادات VPN، ثم ترسل الغنائم إلى خادم تحكم وسيطرة بعيد. كما كشف المحققون عن تجاوز جديد لـ«التحكم بحساب المستخدم» (UAC): إذ تراقب البرمجية الخبيثة عمليات تشغيل التطبيقات الشرعية وتستغلها كوسيلة ركوب، مخادعةً المستخدمين لمنح الهجوم صلاحيات مرتفعة دون أن يدركوا ذلك.

وقد عُثر على بصمات هذه الحملة في هجمات تستخدم برمجيات خبيثة أخرى معروفة، ما يشير إلى بنية تحتية مشتركة وتزايد الاحترافية في الجريمة السيبرانية. ويحذّر خبراء الأمن من أن على المؤسسات التكيّف عبر تشديد أمن البريد الإلكتروني، وتمحيص ملفات الصور بحثًا عن بيانات مخفية، ونشر أدوات كشف طرفية واعية بالذاكرة.

الخلاصة: الوجه الجديد لهجمات التخفي

مع ابتكار مجرمي الإنترنت باستخدام مُحمِّلات جاهزة ودمج البرمجيات الخبيثة عميقًا داخل ملفات تبدو عادية، تتلاشى الحدود بين الأعمال اليومية والتجسس الرقمي. وتُعد الحملات الأخيرة تذكيرًا صارخًا بأن حتى الرسائل الروتينية قد تُخفي تهديدات متقدمة - ما يجبر المؤسسات على إعادة التفكير في كيفية الدفاع ضد هجمات تختبئ على مرأى من الجميع.

WIKICROOK

  • المُحمِّل الجاهز: المُحمِّل الجاهز هو برمجية خبيثة مُنتَجة على نطاق واسع يستخدمها مجرمو الإنترنت لتسليم أنواع مختلفة من البرمجيات الضارة، ما يجعل الهجمات أسهل وأكثر إتاحة.
  • الإخفاء داخل الملفات: تُخفي تقنية الإخفاء داخل الملفات رسائل أو شيفرات سرية داخل ملفات يومية مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
  • تفريغ العملية: تفريغ العملية تقنية تختبئ فيها البرمجية الخبيثة داخل ذاكرة برنامج شرعي، ما يسمح لها بتفادي الاكتشاف وتنفيذ أفعال خبيثة.
  • PowerShell: PowerShell أداة سكربت في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أفعال خبيثة بسرية.
  • تجاوز التحكم بحساب المستخدم (UAC): يتضمن تجاوز التحكم بحساب المستخدم (UAC) خداع ويندوز للسماح بتغييرات غير مصرح بها عبر تفادي نوافذ التنبيه والحمايات الأمنية.
Cybercrime Phishing Attacks Steganography
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news