حقائق سريعة

• GootLoader، أداة تحميل برمجيات خبيثة مرتبطة ببرمجيات الفدية، عادت للنشاط بعد فترة من السكون.
• تستخدم البرمجية الآن خطوطًا مخصصة لإخفاء أسماء الملفات على مواقع ووردبريس المخترقة.
• يقوم الضحايا بتنزيل ملفات ZIP تبدو كنصوص غير ضارة، لكنها في الواقع تحتوي على شيفرة جافاسكريبت خطيرة.
• يستغل المهاجمون تسميم نتائج البحث (SEO poisoning)، لتظهر أفخاخهم في نتائج البحث عن استفسارات قانونية أو تجارية غريبة.
• سمحت الهجمات الأخيرة للقراصنة بالسيطرة على وحدات تحكم النطاق خلال 24 ساعة فقط من الاختراق الأولي.

فن الخداع الرقمي

تخيل أنك تفتح بابًا يحمل لافتة "دليل اجتماعات جمعيات ملاك المنازل في فلوريدا"، لتجد متسللًا مقنعًا ينتظرك بالداخل. هذه هي الحقيقة المرعبة وراء موجة هجمات GootLoader الأخيرة، حيث أتقن مجرمو الإنترنت فن الاختباء في وضح النهار. أداة تحميل البرمجيات الخبيثة سيئة السمعة هذه - التي كانت اسمًا مألوفًا في عالم برمجيات الفدية - عادت من جديد، ولكن مع مجموعة جديدة من الحيل التي قد تثير إعجاب حتى أمهر السحرة.

من ناقل للفدية إلى سيد التنكر

ظهرت GootLoader لأول مرة في عام 2020، وكانت تعمل في البداية كخدمة توصيل لبرمجيات الفدية وأحصنة طروادة المصرفية، وغالبًا ما تتسلل عبر مواقع إلكترونية مخترقة. أصبح مشغلوها، المعروفون الآن باسم Hive0127 (أو UNC2565)، سيئي السمعة لاستخدامهم "تسميم نتائج البحث" - وهي حيلة يتم فيها تهيئة مواقع خبيثة لتظهر في أعلى نتائج جوجل لاستفسارات محددة جدًا وغالبًا ما تكون قانونية. المستخدمون غير المشتبهين الذين يبحثون عن أشياء مثل "نموذج محضر اجتماع لجنة" قد يقعون على موقع مسموم، ويقومون دون قصد بتنزيل برمجيات خبيثة بدلًا من مستندات مفيدة.

ما يميز هذه الموجة الجديدة هو براعتها التقنية. وفقًا لشركة الأمن السيبراني Huntress، تقوم أحدث حملات GootLoader بتضمين خط ويب مخصص (WOFF2) مباشرة في صفحات ووردبريس المخترقة. هذا الخط لا يغير فقط مظهر النص - بل يستبدل الرموز بحيث يتم عرض رموز غير مفهومة على الصفحة كأسماء ملفات مقنعة في متصفحك. لكن إذا قمت بنسخ الاسم أو فحصت الشيفرة، سترى فقط هراءً. إنه قناع رقمي، مدعوم بطريقة ترميز ذكية تُسمى Z85، تقوم بضغط وإخفاء الحمولة الحقيقية.

ملفات ZIP ليست كما تبدو

الخداع لا ينتهي عند الموقع الإلكتروني. ملفات ZIP المعروضة للتنزيل ملغمة أيضًا. عند فحصها بأدوات الحماية الشائعة مثل VirusTotal أو فتحها ببرامج مثل 7-Zip، تبدو هذه الملفات وكأنها مستندات نصية غير ضارة. لكن عند استخراجها باستخدام مستكشف ملفات ويندوز، ينبثق ملف جافاسكريبت خبيث ويبدأ في تشغيل البرمجية الخبيثة. تمنح هذه الحيلة المهاجمين ساعات أو حتى أيامًا ثمينة قبل أن يكتشف المدافعون الأمر، مما يزيد من فرص نجاح الاختراق.

في حالات حديثة، تمكن المهاجمون من السيطرة على أنظمة حيوية - مثل وحدات تحكم النطاق، وهي "مفاتيح المملكة" الرقمية - في أقل من 24 ساعة. سرعة وتعقيد هذه الهجمات تذكرنا بحملات تمويه الملفات المشابهة، مثل تلك التي شوهدت مع Emotet وQBot، لكن استخدام GootLoader الفريد للخداع البصري يمثل تطورًا جديدًا في مسرح الجريمة الإلكترونية.

لماذا الأمر مهم

الأمر ليس مجرد فضول تقني - بل هو جرس إنذار للشركات، ومكاتب المحاماة، وكل من يبحث عن مستندات عبر الإنترنت. مع ازدياد إبداع المهاجمين، يصبح الخط الفاصل بين الآمن والمريب أكثر غموضًا. سوق هذه البرمجيات المتقدمة يزدهر في الخفاء، مدفوعًا بلعبة القط والفأر بين القراصنة والمدافعين. أحدث عروض GootLoader تذكرنا: ليس كل ملف كما يبدو، وليس كل نتيجة بحث صديقًا لك.

ويكي كروك

• GootLoader: هي برمجية خبيثة تقوم بتثبيت تهديدات أخرى سرًا، مثل برمجيات الفدية أو أحصنة طروادة المصرفية، عن طريق خداع المستخدمين لتنزيل ملفات مصابة.
• تسميم نتائج البحث (SEO Poisoning): هو عندما يقوم المهاجمون بالتلاعب بنتائج البحث للترويج لمواقع خبيثة، مما يخدع المستخدمين لزيارة صفحات ضارة أو احتيالية.
• خط WOFF2: هو تنسيق خط ويب مضغوط يتيح استخدام خطوط مخصصة على المواقع الإلكترونية ويمكن أيضًا استخدامه لإخفاء أسماء الملفات الحقيقية.
• ترميز Z85: هو طريقة لتحويل البيانات الثنائية إلى نص مضغوط وقابل للقراءة، مما يسهل إخفاءها أو نقلها ضمن ملفات نصية.
• وحدة تحكم النطاق: هي خادم مركزي في شبكات ويندوز يدير مصادقة المستخدمين وسياسات الأمان والوصول إلى موارد الشبكة.