تحويل ملفات ZIP على GitHub إلى سلاح: كشف الثنائي الخفي CGrabber وDirect-Sys

تبدأ القصة بملف ZIP بسيط، بريء وموثوق، يشق طريقه بهدوء من رابط على GitHub إلى جهاز مستخدم لا يتوقع شيئًا. لكن في الداخل تتحرك عملية سطو إلكتروني متقنة - تتفوق على برامج مكافحة الفيروسات، وتتسلل عبر فحوصات الأمان، وتترك وراءها أثرًا من الأسرار المسروقة. وقد كشف باحثون في Cyderes عن حملة جديدة مقلقة تستغل عائلتين غير معروفتين سابقًا من البرمجيات الخبيثة، هما Direct-Sys Loader وCGrabber Stealer، وتُظهر نتائجهم تصعيدًا مثيرًا للقلق في تكتيكات مجرمي الإنترنت.

نقطة دخول العملية هي أرشيف ZIP - غالبًا ما يحمل اسم Eclipsyn.zip - يُشارك عبر نظام مرفقات المستخدمين في GitHub. في الداخل يوجد Launcher_x64.exe، وهو تطبيق شرعي موقّع من Microsoft. لكن هذا الملف الموثوق هو حصان طروادة: فمن خلال تقنية تُسمى تحميل DLL الجانبي، يقوم بتحميل DLL مُصمَّمة بخبث (msys-crypto-3.dll)، ممهدًا الطريق للمشهد التالي.

هنا يظهر Direct-Sys Loader، برنامج ماكر صُمم للتسلل متجاوزًا الأمن. قبل تنفيذ حمولته، يجري مسحًا بحثًا عن الحراس الرقميين - يفحص 67 أداة أمنية مختلفة ويتحقق من البيئات الافتراضية مثل VMware أو VirtualBox. إذا عثر على أي شيء مريب، يختفي دون أثر. سلاحه السري؟ استدعاءات النظام المباشرة، التي تتواصل مباشرة مع نواة Windows، متجاوزةً بمهارة نقاط الربط (hooks) التي تعتمد عليها معظم أدوات الأمن لرصد النشاط الخبيث.

وعندما يصبح الطريق آمنًا، يُطلق Direct-Sys برنامج CGrabber Stealer. هذه الحمولة النهائية هي حلم سارق البيانات: ينهب المتصفحات (Chrome وEdge وFirefox وBrave) بحثًا عن كلمات المرور وملفات تعريف الارتباط وتفاصيل بطاقات الائتمان، ويستولي على أكثر من 150 تطبيقًا للعملات المشفرة - بما في ذلك MetaMask وExodus وBinance - للحصول على المفاتيح الخاصة. وحتى منصات المراسلة والألعاب مثل Telegram وDiscord وSteam لا تسلم. كما أن بيانات اعتماد VPN من خدمات شائعة مثل NordVPN وProtonVPN موجودة أيضًا على قائمة الاستهداف.

لكن تعقيد الحملة لا يتوقف عند هذا الحد. تُشفَّر جميع البيانات المنهوبة باستخدام خوارزمية ChaCha20 قبل إرسالها إلى خوادم بعيدة. وتساعد ترويسات ويب مخصصة، مثل X-Auth-Token، على تمرير الحركة متجاوزةً أدوات مراقبة الشبكة. وفي إشارة إلى جيوسياسة الجريمة الإلكترونية، تُجري البرمجية الخبيثة فحصًا إقليميًا: فإذا اكتشفت أنها تعمل في دولة من دول رابطة الدول المستقلة (CIS)، فإنها تتوقف عن العمل، على الأرجح لتجنب جذب انتباه جهات إنفاذ القانون غير المرغوب فيه.

يحذر الخبراء من أن الجمع بين البرمجيات الشرعية وتكتيكات التهرب المتقدمة وقدرات سرقة البيانات الواسعة يجعل هذه الحملة خطيرة على نحو خاص. أفضل دفاع؟ توخي الحذر الشديد مع ملفات ZIP القادمة من GitHub، واليقظة تجاه أي برامج غير مألوفة على نظامك. في عالم يمكن فيه تسليح الثقة، يصبح كل تنزيل مخاطرة محتملة.

إن اكتشاف CGrabber وDirect-Sys Loader تذكير صارخ: حتى أكثر المنصات موثوقية يمكن تحويلها إلى مركبات توصيل للجريمة الإلكترونية. ومع ازدياد انضباط الخصوم وإبداعهم، يستمر الخط الفاصل بين الشرعي والخبيث في التلاشي - ما يجعل الوعي والشك خط دفاعنا الأول.

WIKICROOK

• تحميل DLL الجانبي: تحميل DLL الجانبي هو عندما يخدع المهاجمون البرامج الموثوقة لتحميل ملفات مساعدة خبيثة (DLL) بدلًا من الملفات الشرعية، مما يتيح هجمات خفية.
• استدعاءات النظام المباشرة: تُستخدم استدعاءات النظام المباشرة بواسطة البرمجيات الخبيثة لتجاوز أدوات الأمن عبر التواصل مباشرة مع نواة نظام التشغيل، متفاديةً أساليب المراقبة التقليدية.
• الحمولة: الحمولة هي الجزء الضار من الهجوم الإلكتروني، مثل فيروس أو برنامج تجسس، يُسلَّم عبر رسائل بريد إلكتروني أو ملفات خبيثة عندما يتفاعل الضحية معها.
• خوارزمية ChaCha20: ChaCha20 هي شيفرة تدفق سريعة وآمنة تُستخدم لتشفير البيانات عبر الإنترنت، وتوفر حماية قوية وكفاءة لاتصالات الإنترنت الحديثة.
• CIS (رابطة الدول المستقلة): رابطة الدول المستقلة هي مجموعة من دول الاتحاد السوفيتي السابق. غالبًا ما تتجنب البرمجيات الخبيثة مناطق CIS لتقليل المخاطر على المهاجمين المقيمين في تلك الدول.