التخفّي بحكم التصميم: كيف يسلّح مجرمو الإنترنت الأدوات اليومية في موجة تصيّد عالمية خاطفة

تبدأ برسالة بريد إلكتروني تبدو كأي رسالة أخرى - ربما أمر شراء روتيني أو طلب عمل مألوف. لكن خلف هذه الرسائل التي تبدو بريئة يتربّص هجوم سيبراني منسّق، يتسلّل بهدوء إلى أهداف عالية القيمة من أرضيات مصانع ميلانو إلى مكاتب الحكومة في الرياض. وقد كشفت أبحاث حديثة عن حملة متطورة متعددة المراحل تتشارك فيها عدة مجموعات قرصنة الموارد والبنية التحتية، بينما تستخدم أدوات رقمية يومية كأحصنة طروادة.

حقائق سريعة

• يستهدف المهاجمون قطاعي التصنيع والحكومة في إيطاليا وفنلندا والمملكة العربية السعودية.
• تستخدم الحملة مستندات Office مُسلّحة وصور SVG وأرشيفات ZIP لتسليم البرمجيات الخبيثة.
• يُوجّه مُحمِّل سلعي مشترك الضحايا إلى طيف من برمجيات سرقة المعلومات وبرمجيات الوصول عن بُعد.
• تشمل المراوغة المتقدمة إخفاء البيانات داخل الملفات (Steganography) وتفريغ العمليات (Process Hollowing) وتقنيات تجاوز UAC.
• تشمل البيانات المسروقة بيانات اعتماد ومحافظ عملات رقمية وأسرار VPN وغير ذلك.

هذه ليست عملية تصيّد اعتيادية. يجمع المهاجمون بين استهداف دقيق وحقيبة أدوات تقنية صُممت للانزلاق حتى أمام أكثر الدفاعات يقظة. طُعومهم الأولية - مستندات مفخخة واختصارات متنكرة بذكاء - تشكّل الفصل الأول في دراما خداع من أربع مراحل. تبدأ كل إصابة بجافاسكربت شديد الإخفاء، يعيد بناء حمولة خبيثة ديناميكياً فقط عندما يفتح الضحية الملف، متجاوزاً أدوات الفحص الأساسية.

لكن الإبداع لا يتوقف عند ذلك. فالمرحلة التالية تجلب برمجيات خبيثة مخفية داخل ملفات صور تبدو بريئة، مستضافة على منصات موثوقة مثل Archive.org. ومن خلال إخفاء الشيفرة على مرأى من الجميع، يتجاوز المجرمون أنظمة مراقبة الشبكات التي كانت ستضع عادةً علامات على التنزيلات المشبوهة.

ثم يتلاعب المهاجمون بأدوات مفتوحة المصدر، مثل مكتبة TaskScheduler على GitHub، باستخدام أسلوب “تجميع هجين”. يضيفون وظائف خبيثة إلى شيفرة شرعية، ثم يعيدون تجميعها ونشرها بحيث تبدو أصلية - بينما تفتح سراً باباً خلفياً. ويتضمن الفصل الأخير تفريغ العمليات: حقن البرمجية الخبيثة الفعلية داخل أداة ويندوز خاملة (RegAsm.exe)، ما يجعل العدوى شبه غير مرئية وهي تعمل تحت غطاء نشاط نظام شرعي.

وفي قلب كل ذلك يوجد مُحمِّل سلعي متعدد الاستخدامات - نوع من لوحة تحويل رقمية - يوجّه الأجهزة المصابة لتنزيل مجموعة من البرمجيات الخبيثة، من سارقي المعلومات مثل PureLog وKatz Stealer إلى أحصنة طروادة للوصول عن بُعد (RATs) مثل AsyncRat وRemcos. والبيانات التي تُحصد مذهلة: بيانات تسجيل الدخول للمتصفح، محافظ العملات الرقمية، أسرار المصادقة الثنائية 2FA، بيانات اعتماد VPN، وغير ذلك، عبر موارد شخصية ومؤسسية على حد سواء.

وما يجعل هذه الحملة خطيرة على نحو خاص هو تنظيمها على نطاق صناعي. يكشف التحليل الجنائي عن شيفرة وبنية تحتية وحتى اصطلاحات تسمية مشتركة عبر عائلات برمجيات خبيثة مختلفة، ما يشير إلى منظومة منسّقة بإحكام أو خدمة إجرامية مشتركة. وتؤكد ابتكارات حديثة - مثل طريقة جديدة لتجاوز “التحكم في حساب المستخدم” في ويندوز (UAC) - أن هؤلاء الفاعلين يواصلون صقل تكتيكاتهم باستمرار.

بالنسبة للمؤسسات الواقعة في مرمى النيران - خصوصاً في القطاعات الحيوية - فالرسالة واضحة: لم تعد اليقظة وحدها كافية. ومع استغلال المهاجمين للأدوات الرقمية اليومية ومنصات السحابة الشرعية، لا يمكن مجاراة هذا التهديد المتطور إلا عبر دفاعات متعددة الطبقات، ومراقبة قوية لنقاط النهاية، واستجابة سريعة للحوادث. ومع تلاشي الحدود بين البرمجيات الخبيثة السلعية والتهديدات المتقدمة المستمرة، فقد حلّ عصر “التخفّي بحكم التصميم”.

WIKICROOK

• المُحمِّل السلعي: المُحمِّل السلعي هو برمجية خبيثة تُنتَج على نطاق واسع ويستخدمها مجرمو الإنترنت لتسليم أنواع مختلفة من البرمجيات الضارة، ما يجعل الهجمات أسهل وأكثر إتاحة.
• تفريغ العمليات: تفريغ العمليات تقنية تُخفي فيها البرمجيات الخبيثة نفسها داخل ذاكرة برنامج شرعي، ما يسمح لها بتفادي الكشف وتنفيذ أفعال خبيثة.
• إخفاء البيانات داخل الملفات (Steganography): يُخفي إخفاء البيانات رسائل أو شيفرة سرية داخل ملفات يومية مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
• حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سراً في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
• تجاوز UAC: تجاوز UAC هو أسلوب يستخدمه المهاجمون لتفادي “التحكم في حساب المستخدم” في ويندوز، ما يسمح للبرمجيات الخبيثة بالحصول على صلاحيات مرتفعة دون علم المستخدم أو موافقته.