- عادت البرامج الضارة Gootloader إلى الظهور في أواخر أكتوبر 2025 بعد توقف دام تسعة أشهر، وتم استخدامها لشن هجمات برامج الفدية
- يتم تسليمها عبر جافا سكريبت الخبيثة المخفية في خطوط الويب المخصصة، مما يتيح الوصول الخفي والاستطلاع عن بعد
- مرتبط بـ Storm-0494 وVice Society؛ وصل المهاجمون إلى وحدات تحكم المجال في أقل من ساعة في بعض الحالات
بعد إجازة لمدة تسعة أشهر، عادت البرمجيات الخبيثة المعروفة باسم Gootloader بالفعل، ومن المحتمل أن يتم استخدامها كنقطة انطلاق نحو الإصابة ببرامج الفدية.
لاحظ تقرير صادر عن باحثي الأمن السيبراني Huntress “إصابات متعددة” في الفترة من 27 أكتوبر وحتى أوائل نوفمبر 2025. وقبل ذلك، كانت آخر مرة شوهد فيها برنامج Gootloader في مارس 2025.
في الحملة الجديدة، من المرجح أن يتم الاستفادة من Gootloader من قبل مجموعة تعرف باسم Storm-0494، بالإضافة إلى مشغلها النهائي، Vanilla Tempest (المعروف أيضًا باسم Vice Society)، وهي مجموعة من برامج الفدية تم رصدها لأول مرة في منتصف عام 2021، وتستهدف في المقام الأول قطاعي التعليم والرعاية الصحية، مع رحلات عرضية إلى التصنيع.
إخفاء البرامج الضارة في الخطوط المخصصة
وأوضح الباحثون أن برنامج Gootloader تم استخدامه لتوصيل جافا سكريبت الضارة من مواقع الويب المخترقة. يقوم البرنامج النصي بتثبيت الأدوات التي تمنح المهاجمين إمكانية الوصول عن بعد إلى أجهزة Windows الخاصة بالشركة، وتمكين إجراءات المتابعة، مثل الاستيلاء على الحساب، أو نشر برامج الفدية.
قام Gootloader بإخفاء أسماء الملفات الضارة وتعليمات التنزيل داخل خط ويب مخصص (WOFF2) بحيث تبدو الصفحة عادية في المتصفح ولكنها تظهر نصًا لا معنى له في HTML الخام. عندما فتح أحد الضحايا الصفحة المخترقة، استخدم المتصفح الخط لتبديل الأحرف غير المرئية أو المشوشة بأحرف قابلة للقراءة، مما يكشف عن رابط التنزيل الحقيقي واسم الملف فقط عند عرضه.
والغرض من الحملة هو الحصول على وصول أولي موثوق به، وتحديد الشبكات المستهدفة والتحكم فيها بسرعة، ثم تسليم الوصول إلى مشغلي برامج الفدية. تتم العملية برمتها في أسرع وقت ممكن، في الغالب من خلال أدوات الاستطلاع والتحكم عن بعد الآلية التي تساعد في تحديد الأهداف ذات القيمة العالية، وإنشاء حسابات مميزة، والاستعداد لبرامج الفدية.
وأضافت Huntress أنه في بعض الحالات، وصل المهاجمون إلى وحدات التحكم بالمجال في غضون ساعات. غالبًا ما يبدأ الاستطلاع الآلي الأولي في غضون 10 إلى 20 دقيقة بعد تشغيل JavaScript الضار، وفي العديد من الحوادث، حقق المشغلون الوصول إلى وحدة التحكم بالمجال في أقل من 17 ساعة. وفي بيئة واحدة على الأقل وصلوا إلى وحدة تحكم المجال في أقل من ساعة واحدة.
للدفاع ضد Gootloader، تنصح Huntress بمراقبة العلامات المبكرة مثل التنزيلات غير المتوقعة من متصفحات الويب، والاختصارات غير المألوفة في مواقع بدء التشغيل، ونشاط PowerShell المفاجئ أو البرنامج النصي القادم من المتصفح، والاتصالات الصادرة غير العادية التي تشبه الوكيل.
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات