برمجيات خبيثة على مرأى من الجميع: كيف اختطف القراصنة تنزيلات CPUID الموثوقة

بدأ الأمر كيوم عادي لعشّاق التقنية ومحترفي تكنولوجيا المعلومات: كان موقع CPUID الموثوق، موطن أدوات النظام الشهيرة مثل CPU-Z وHWMonitor، يعمل كالمعتاد. لكن بين 9 و10 أبريل، كان خطر خفي يتربص تحت أزرار التنزيل المألوفة. لمدة ست ساعات، استولى مجرمو الإنترنت على واجهة برمجة تطبيقات ثانوية، محوّلين أدوات CPUID إلى مركبات لنشر البرمجيات الخبيثة. كان الاختراق سريعًا ودقيقًا، وكان يمكن أن يخلّف أثرًا من الأجهزة المخترقة عبر العالم.

سلسلة تنزيل خادعة

يُعد اختراق CPUID مثالًا نموذجيًا على هجوم سلسلة التوريد، حيث تتحول البرمجيات الموثوقة إلى ناقل للعدوى. لم يعبث المهاجمون بالثنائيات الأساسية لـ CPUID أو بعناوين URL الرسمية للتنزيل. بدلًا من ذلك، استغلوا واجهة برمجة تطبيقات ثانوية، وأعادوا توجيه المستخدمين إلى ملفات خبيثة مستضافة على Cloudflare R2. بدت التنزيلات المصابة وكأنها مُثبّتات شرعية - مكتملة بملف تنفيذي حقيقي وموقّع - لكنها أخفت حمولة شريرة: ملف DLL خبيث باسم CRYPTBASE.dll.

هذا الـ DLL، الذي تم تسليمه عبر غلاف Inno Setup روسي، استخدم خدعة كلاسيكية تُسمى تحميل DLL الجانبي لحقن نفسه في عملية التنفيذ. وبمجرد تشغيله، أجرى فحوصات مضادة لبيئات الساندبوكس لتجنب الاكتشاف، ثم اتصل بخادم القيادة والتحكم لنشر المرحلة النهائية: STX RAT، وهو حصان طروادة متقدم للتحكم عن بُعد بقدرات سرقة معلومات. ووفقًا لكاسبرسكي وباحثين مستقلين، عملت البرمجية الخبيثة تقريبًا بالكامل في الذاكرة، متفاديةً معظم حلول مكافحة الفيروسات.

الضحايا وإسناد المسؤولية

تقدّر كاسبرسكي أن أكثر من 150 مستخدمًا قاموا بتنزيل المُثبّتات المُحصّنة ببرمجيات خبيثة. وتوزع الضحايا على قطاعات التجزئة والتصنيع والاستشارات والاتصالات والزراعة، مع تركّز في البرازيل وروسيا والصين. وتشير أدلة الطب الشرعي الرقمي إلى أن الجهة المهدِّدة نفسها كانت وراء هجوم مشابه في مارس باستخدام موقع FileZilla مزيف، إذ تشاركت الحملتان بنية تحتية للقيادة والتحكم.

يتم الآن وسم ملف ZIP الخبيث من قبل 20 محركًا لمكافحة الفيروسات على أنه متغيرات من حصان طروادة Tedy أو Artemis. وردّت CPUID بسرعة، فأصلحت واجهة البرمجة المخترقة وأكدت أن جميع التنزيلات الحالية آمنة. ومع ذلك، تُعد الحادثة تذكيرًا صارخًا: حتى المصادر الموثوقة يمكن تسليحها من قبل خصوم مهرة.

إذا قمت بالتنزيل خلال نافذة الهجوم

أي شخص قام بتنزيل CPU-Z أو HWMonitor أو HWMonitor Pro أو PerfMonitor من CPUID بين 9 أبريل، 15:00 UTC و10 أبريل، 10:00 UTC، ينبغي أن يتعامل مع تثبيته على أنه قد يكون مخترقًا. نشرت كاسبرسكي مؤشرات اختراق - ملفات خبيثة وملفات DLL وعناوين URL - لمساعدة المستخدمين والمؤسسات على اكتشاف الإصابة. ورغم أن الثنائيات الأساسية لـ CPUID لم يتم تعديلها، فإن اليقظة أمر بالغ الأهمية في أعقاب اختراق سلسلة توريد.

تأملات حول تهديد حديث

تؤكد هذه الحادثة حقيقة مقلقة في مشهد البرمجيات اليوم: لا تنزيل محصّن بالكامل. يستهدف القراصنة بشكل متزايد الثقة التي نضعها في المواقع والأدوات الشرعية. إن اختراق CPUID جرس إنذار للمستخدمين والمطورين على حد سواء - ثق، لكن تحقّق، وأبقِ دفاعاتك دائمًا في أعلى جاهزية.

WIKICROOK

• تحميل DLL الجانبي: تحميل DLL الجانبي هو عندما يخدع المهاجمون البرامج الموثوقة لتحميل ملفات مساعدة خبيثة (DLL) بدلًا من الملفات الشرعية، مما يتيح هجمات خفية.
• حصان طروادة للتحكم عن بُعد (RAT): حصان طروادة للتحكم عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، مما يمكّن السرقة والتجسس.
• أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يختـرق مزودي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
• مؤشرات الاختراق (IoCs): مؤشرات الاختراق (IoCs) هي دلائل مثل أسماء الملفات أو عناوين IP أو شذرات الشيفرة تساعد على اكتشاف ما إذا كان نظام حاسوبي قد تم اختراقه.