في عالم الأمن السيبراني، تظهر تهديدات جديدة باستمرار. واحدة من هذه التهديدات هي برمجيات DeepLoad الخبيثة، التي تبرز بقدرتها على سرقة بيانات الاعتماد وتفادي الكشف.
كشفت الأبحاث عن سلالة جديدة من البرمجيات الخبيثة قادرة على سرقة بيانات اعتماد المستخدمين على الفور بعد دخولها شبكة الضحية، حيث تقوم بالتقاط كلمات المرور المخزنة في المتصفح وضغطات المفاتيح الحية في الوقت الحقيقي من خلال أداة سرقة مستقلة وإضافة متصفح خبيثة.
ما يجعل البرمجيات الخبيثة صعبة الاحتواء، وفقًا لشركة ReliaQuest، هو استخدامها المحتمل للكود المولد بواسطة الذكاء الاصطناعي وحقن العمليات لتفادي أدوات الكشف. كما أنها تتضمن آلية استمرارية يمكن أن تعيد تنفيذها بصمت حتى بعد أن يبدو أن المضيف المصاب نظيف تمامًا.
توصيل DeepLoad عبر ClickFix
يستخدم مؤلفو البرمجيات الخبيثة، التي تتعقبها ReliaQuest باسم “DeepLoad”، تقنية الهندسة الاجتماعية ClickFix لتوزيع أداة سرقة بيانات الاعتماد في بيئات المؤسسات.
“تسرق DeepLoad بيانات الاعتماد من اللحظة التي تصل فيها، لذا حتى الاحتواء الجزئي يمكن أن يترك لك كلمات مرور مكشوفة، وجلسات، وحسابات نشطة،” حذرت ReliaQuest في تقرير هذا الأسبوع. “قبل أن تنتهي سلسلة الهجوم الرئيسية، تكون أداة سرقة بيانات الاعتماد المستقلة، filemanager.exe، تعمل بالفعل على بنيتها التحتية الخاصة ويمكنها استخراج البيانات حتى لو تم الكشف عن المحمل الرئيسي وblocking. “
بالإضافة إلى ذلك، يمكن لإضافة المتصفح التي تسقطها البرمجيات الخبيثة وتقوم بتسجيلها التقاط بيانات الاعتماد في الوقت الحقيقي أثناء كتابة المستخدمين لها، وتستمر عبر جلسات المتصفح حتى يتم إزالتها صراحة، وفقًا لمزود الأمن.
كما هو الحال مع معظم عمليات الاحتيال ClickFix، تبدأ سلسلة الهجوم بتلقي المستخدمين مطالبات متصفح مزيفة تطلب منهم تنفيذ أمر يبدو غير ضار لـ “إصلاح” نوع من “الخطأ” المصنوع. في هذه الحالة، ينشئ الأمر على الفور مهمة مجدولة لإعادة تنفيذ المحمل، بحيث تستمر عبر إعادة التشغيل أو الكشف الجزئي، دون الحاجة إلى القيام بأي شيء بعد ذلك. ثم تستخدم البرمجيات الخبيثة mshta.exe، وهي أداة Windows شرعية، للتواصل مع بنية المهاجم وتنزيل محمل PowerShell مشوش بشدة.
محمل مبطن بشدة
أظهرت تحليل ReliaQuest لـ DeepLoad أن كودها الوظيفي مدفون تحت آلاف الأسطر من كود الفوضى الذي يبدو أنه مصمم لإغراق أدوات الفحص الثابتة وتركها دون شيء للإبلاغ عنه. تشير الكمية الهائلة من الحشو في المحمل إلى أنه لم يتم كتابته بواسطة مؤلف بشري، بل تم تطويره على الأرجح بواسطة نموذج ذكاء اصطناعي، وفقًا لمزود الأمن.
تتمثل منطق الهجوم الفعلي لـ DeepLoad في روتين فك تشفير قصير يقوم بفك حمولته الخبيثة بالكامل في الذاكرة. بمجرد فك الحمولات، يتم حقن الحمولات في LockAppHost.exe، وهي عملية Windows شرعية تدير شاشة القفل، وهي شيء لا تراقبه معظم أدوات الأمان بنشاط.
لإجراء الحقن، تستخدم DeepLoad ميزة PowerShell المسماة Add-Type لإنشاء مكتبة ربط ديناميكية مؤقتة (DLL) يتم إسقاطها في دليل Temp للكمبيوتر المخترق. وجدت ReliaQuest أن البرمجيات الخبيثة تقوم بتجميع DLL حديثًا في كل تنفيذ وتعيين اسم ملف عشوائي لضمان عدم عثور أدوات الأمان التي تبحث عن اسم ملف محدد على أي شيء يتطابق. كما تقوم البرمجيات الخبيثة بتعطيل سجل أوامر PowerShell لتغطية آثارها.
في الحملة التي حققت فيها ReliaQuest، انتشرت DeepLoad أيضًا إلى محركات USB المتصلة في غضون 10 دقائق من الإصابة الأولية. وجدت الشركة أن البرمجيات الخبيثة تكتب أكثر من 40 ملفًا متنكرًا كملفات إعداد Chrome، ومثبتات Firefox، واختصارات AnyDesk وغيرها من المثبتات المألوفة، إلى محرك USB لمضيف مخترق.
كان الهدف على الأرجح هو زيادة فرص نقر المستخدم على أحد المثبتات المزيفة وإصابة جهاز آخر في هذه العملية. ومع ذلك، لا يزال غير واضح ما إذا كانت انتشار USB ميزة مدمجة في DeepLoad أو شيء أضافه المهاجم لتلك الحملة الخاصة، وفقًا لـ ReliaQuest.
الإصلاح القياسي غير كافٍ
لا يكفي التنظيف القياسي، مثل إزالة المهام المجدولة، والملفات المؤقتة، وغيرها من مؤشرات الاختراق (IOCs) لإزالة إصابات DeepLoad بالكامل، وفقًا لـ ReliaQuest. وذلك لأن DeepLoad ينشئ مشغلًا دائمًا داخل إدارة Windows للآلات (WMI) يعيد تشغيل الهجوم تلقائيًا دون أي تفاعل إضافي من المستخدم. في الحادث الذي حقق فيه ReliQuest، أعادت البرمجيات الخبيثة تنفيذ الهجمات بعد ثلاثة أيام كاملة من ظهور المضيف المتأثر كأنه نظيف تمامًا.
أوصت الشركة بأن تقوم المؤسسات التي تعرضت لـ DeepLoad بتدقيق وإزالة اشتراكات أحداث WMI على المضيفين المتأثرين قبل إعادتها إلى الإنتاج. يجب عليهم أيضًا تمكين تسجيل كتل نصوص PowerShell ورصد سلوكيات النقاط النهائية للبحث عن النشاط الخبيث حيث أن الفحص القائم على الملفات لن يكتشف المحمل. بالإضافة إلى ذلك، يجب على المؤسسات تغيير جميع بيانات الاعتماد المرتبطة بنظام مصاب، بما في ذلك كلمات المرور المحفوظة، ورموز الجلسات النشطة، والحسابات التي كانت قيد الاستخدام خلال فترة الإصابة.
“تشير مؤشرات توليد الذكاء الاصطناعي إلى احتمال واقعي أن تتطور التمويه من الضوضاء العامة إلى حشو مصمم خصيصًا للبيئة المحددة التي يتم نشره فيها، مما يجعل تحديد السلوك أكثر صعوبة مع مرور الوقت،” حذرت ReliaQuest. “مع إضافة اشتراكات WMI إلى قوائم التحقق من الإصلاح، من المحتمل أن تتحول آلية الاستمرارية إلى ميزات Windows شرعية أخرى تتلقى حاليًا اهتمامًا أقل.”
تتطلب مواجهة برمجيات DeepLoad استراتيجيات متقدمة وإجراءات وقائية صارمة. يجب على المؤسسات أن تكون يقظة وتحديث تدابير الأمان الخاصة بها باستمرار.
