ZIP الخداع: كيف تتفوق أرشيفات غوتلودر «فرانكشتاين» على دفاعات الأمن السيبراني

العنوان الفرعي: حملة برمجيات خبيثة متطورة تسلّح ملفات ZIP مشوّهة، متجاوزة أدوات الحماية ومستهدفة مستخدمي ويندوز غير المنتبهين.

على موقع يبدو بريئًا لنماذج قانونية، ينقر مستخدم زر «تنزيل» لقالبٍ ما - من دون أن يدري أنه على وشك إطلاق أحد أمهر مُحمِّلات البرمجيات الخبيثة في الساحة. عاد GootLoader، التهديد الشهير القائم على JavaScript، بحزمة حيل جديدة، بينها أرشيف ZIP مُركّب على نحو غريب لدرجة أن معظم أدوات مكافحة الفيروسات والتحليل الجنائي تقف عاجزة أمامه. سرّه؟ مئات، وأحيانًا آلاف، من ملفات ZIP الموصولة ببعضها، وكل واحد منها مشوّه بطريقة فريدة ليتسلل متجاوزًا الحراس الرقميين المفترض أن يحمونا.

حقائق سريعة

يستخدم GootLoader أرشيفات ZIP مشوّهة تضم 500–1,000 ملفًا موصولًا لتفادي الاكتشاف.
هذه الأرشيفات غير قابلة للقراءة لدى معظم أدوات فك الضغط التجارية لكنها تُفتح بسلاسة في أداة ويندوز المدمجة.
يُصمَّم كل ملف ZIP بشكل فريد باستخدام «كسر البصمة (hashbusting)» لإحباط الكشف المعتمد على التواقيع.
تُوزَّع البرمجية الخبيثة عبر تسميم SEO والإعلانات الخبيثة، مستهدفةً أساسًا المستخدمين الباحثين عن مستندات قانونية.
بعد التنفيذ، يرسّخ GootLoader الاستمرارية ويمكنه إيصال فدية رقمية أو حمولات ثانوية أخرى.

تشريح هجومٍ مشوّه

كشف باحثو الأمن في Expel مؤخرًا أحدث أساليب المراوغة لدى GootLoader. ينشئ المهاجمون أرشيف ZIP مشوّهًا عبر خياطة 500 إلى 1,000 ملف ZIP منفصل، ثم يعبثون عمدًا بالسجلات البنيوية - مثل اقتطاع سجل «نهاية الدليل المركزي» (EOCD) وعشوائية الحقول غير الأساسية. النتيجة؟ معظم أدوات الاستخراج، بما فيها ركائز مثل WinRAR و7-Zip، تختنق وتفشل. لكن أداة فك الضغط الافتراضية في ويندوز تعالج الملف بلا اعتراض، ما يضمن أن الضحايا قد يطلقون البرمجية الخبيثة من دون قصد.

ولا تتوقف الشعوذة التقنية عند هذا الحد. فكل أرشيف «مكسور البصمة»: عشوائي وفريد، ما يجعل الكشف المعتمد على الهاش والربط بين البيئات شبه عديم الجدوى. وتستغل سلسلة التوزيع تسميم SEO والإعلانات الخبيثة لاستدراج الضحايا إلى مواقع ووردبريس مخترقة، حيث يؤدي النقر على زر التنزيل إلى نقلٍ خفي لملف ZIP المفخخ.

تفكيك سلسلة الهجوم

ما إن يصل ملف ZIP إلى جهاز الضحية، حتى يفتح النقر المزدوج المجلد كاشفًا ملف JavaScript خبيثًا. تشغيله ينفّذ “wscript.exe” من دليل مؤقت، من دون أي استخراج صريح. ثم يدفن هذا السكربت اختصارًا لويندوز داخل مجلد بدء التشغيل لضمان الاستمرارية، ويطلق مرحلة ثانية من JavaScript عبر “cscript.exe” وPowerShell - قد تقوم بتهريب معلومات النظام أو تنزيل حمولات إضافية، مثل برمجيات الفدية.

ولمواجهة هذا التهديد المتطور، يحث خبراء الأمن السيبراني المؤسسات على حظر تنفيذ “wscript.exe” و“cscript.exe” للمحتوى المُنزَّل، وإجبار ملفات JavaScript على الفتح في «المفكرة» افتراضيًا، بما يعطّل تنفيذها.

الخلاصة: لعبة القط والفأر مستمرة

تُبرز أحدث حملة لـGootLoader الإبداع الذي لا يهدأ لدى مجرمي الإنترنت وهم يستغلون زوايا مهملة في برمجيات نستخدمها يوميًا. ومع ملفات ZIP مشوّهة تخدع حتى الدفاعات المتقدمة، فإن سباق التسلح بين المهاجمين والمدافعين لم ينتهِ بعد. في الوقت الراهن، يبقى أفضل دفاع هو اليقظة - وشيء من الشك الصحي تجاه تنزيل «قالب قانوني» جديد.

WIKICROOK

أرشيف ZIP: أرشيف ZIP هو تنسيق ملف مضغوط يجمع عدة ملفات معًا، ما يسهل التخزين والمشاركة، لكنه قد يخفي أحيانًا برمجيات خبيثة.
كسر البصمة (Hashbusting): يغيّر كسر البصمة الملفات لإنتاج بصمات هاش فريدة، ما يساعد المهاجمين على تفادي اكتشاف أدوات الأمن التي تعتمد على التعرف القائم على الهاش.
تسميم SEO: تسميم SEO هو قيام المهاجمين بالتلاعب بنتائج البحث للترويج لمواقع خبيثة، وخداع المستخدمين لزيارة صفحات ضارة أو احتيالية.
الاستمرارية: تشير الاستمرارية إلى تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
PowerShell: PowerShell أداة سكربت في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أفعال خبيثة بسرية.