- توفر تحديثات Windows المزيفة برامج ضارة متقدمة مخبأة داخل صور PNG المشفرة
- يخدع المتسللون الضحايا بشاشات التحديث التي تنفذ الأوامر الضارة سرًا
- يقوم Stego Loader بإعادة بناء الحمولات الخطيرة بالكامل في الذاكرة باستخدام إجراءات C#
يستخدم المتسللون بشكل متزايد شاشات Windows Update المزيفة لتوزيع البرامج الضارة المعقدة من خلال أساليب الهندسة الاجتماعية.
تقنع هجمات ClickFix المستخدمين بتنفيذ الأوامر في Windows عن طريق محاكاة مطالبات التحديث المشروعة في صفحات متصفح الويب بملء الشاشة، حسبما وجد باحثا Huntress Ben Folland و Anna Pham.
وأفاد الخبراء أنه في بعض الحالات، يقوم المهاجمون بتوجيه الضحايا للضغط على مفاتيح معينة، والتي تقوم تلقائيًا بلصق الأوامر الضارة في مربع Windows Run.
إخفاء المعلومات والحمولات متعددة المراحل
تؤدي هذه الأوامر بعد ذلك إلى تشغيل البرامج الضارة، وتجاوز وسائل حماية النظام القياسية والتأثير على الأنظمة الفردية وأنظمة المؤسسات.
يتم إخفاء حمولات البرامج الضارة باستخدام إخفاء المعلومات داخل صور PNG، ويتم تشفيرها باستخدام AES، ويتم إعادة بنائها بواسطة مجموعة .NET تسمى Stego Loader.
يقوم هذا المُحمل باستخراج كود القشرة باستخدام إجراءات C# المخصصة وإعادة حزمه باستخدام أداة Donut، مما يسمح بتنفيذ ملفات VBScript وJScript وEXE وDLL وتجميعات .NET بالكامل في الذاكرة.
وحدد المحللون البرمجيات الخبيثة الناتجة على أنها أشكال مختلفة من LummaC2 وRdhamanthys.
يوضح استخدام إخفاء المعلومات في هذه الهجمات أن تسليم البرامج الضارة يتجاوز الملفات التقليدية القابلة للتنفيذ، مما يخلق تحديًا جديدًا لفرق الكشف عن التهديدات والاستجابة للحوادث.
ينفذ المهاجمون أيضًا أساليب مراوغة ديناميكية مثل ctrampoline، الذي يستدعي آلاف الوظائف الفارغة لجعل التحليل أكثر صعوبة.
تم اكتشاف متغير واحد يستخدم إغراء Windows Update المزيف في أكتوبر 2025، وعطلت سلطات إنفاذ القانون جزءًا من بنيته التحتية من خلال عملية Endgame في نوفمبر.
أدى هذا إلى منع تسليم الحمولة النهائية عبر النطاقات الضارة، على الرغم من أن صفحات التحديث المزيفة تظل نشطة.
وتستمر الهجمات في التطور، حيث تتناوب بين مطالبات التحقق البشري وتحديث الرسوم المتحركة لخداع المستخدمين لتنفيذ الأوامر.
يوصي الباحثون بمراقبة سلاسل العمليات بحثًا عن الأنشطة المشبوهة، مثل Explorer.exe الذي ينتج mshta.exe أو PowerShell.
يمكن للمحققين أيضًا مراجعة مفتاح التسجيل RunMRU للأوامر المنفذة.
تُنصح المؤسسات بالدمج بين ممارسات إزالة البرامج الضارة وبرامج مكافحة الفيروسات المسح الضوئي وحماية جدار الحماية للحد من التعرض.
يعد تعطيل مربع Windows Run، حيثما أمكن ذلك، والفحص الدقيق للحمولات المستندة إلى الصور من الاحتياطات الإضافية الموصى بها.
ويتعين على الشركات أن تضع في اعتبارها المخاطر التي تنشأ عن تحويل الأصول التي تبدو شرعية، مثل الصور والنصوص، إلى أسلحة، وهو ما يؤدي إلى تعقيد عمليات التسجيل والمراقبة والتحليل الجنائي.
وهذا يثير أيضًا مخاوف بشأن أمان سلسلة التوريد وإمكانية قيام المهاجمين باستغلال آليات التحديث الموثوقة كنقاط دخول.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات