خبراء أمن يكتشفون حملة «تصيد» عبر محرك بحث جوجل تستهدف مستخدمي 7-Zip

كشف باحثون في شركة «Malwarebytes» عن حملة خبيثة استغلت نطاقاً مزيفاً يشبه الموقع الرسمي لبرنامج 7-Zip، ووزعت نسخة ملغمة من أداة ضغط الملفات، حولت أجهزة الضحايا إلى خوادم وسيطة سكنية دون علمهم.

وأوضح تقرير Malwarebytes أن النطاق «7zip دوت كوم» انتحل هوية المشروع الأصلي المستضاف حصرياً على 7-zip.

org، وقدم مُثبتاً يحمل مظهراً رسمياً، ما خفف من شكوك المستخدمين.

خطأ في النطاق قاد إلى إصابة طويلة الأمد.

سرد التقرير حالة مستخدم لجأ إلى منتدى «ريديت» بعد تحميله البرنامج من الموقع الخاطئ أثناء متابعته شرحاً على يوتيوب لتجميع حاسوب جديد.

وثبت المستخدم الملف أولاً على حاسوب محمول «لابتوب» ثم نقله عبر ذاكرة تخزين USB إلى جهاز مكتبي جديد، وواجه أخطاء متكررة تتعلق بإصداري 32 بت و64 بت قبل أن يتخلى عن المُثبت.

وأطلق برنامج الحماية المدمج في ويندوز، وبعد نحو أسبوعين من تلك الواقعة، تنبيهاً برصد تهديد تحت تصنيف «حصان طروادة»، ما كشف أن الإصابة استمرت بصمت طوال تلك الفترة.

مكونات خفية تعمل بصلاحيات النظام.

أظهر التحليل أن المُثبت نشر نسخة معدلة من مدير ملفات 7-Zip تعمل بصورة طبيعية لتفادي الشبهات، وفي الوقت نفسه أسقط ثلاثة مكونات إضافية داخل المسار C: WindowsSysWOW64hero: وهي ملفات تنفيذية ومكتبة برمجية ديناميكية.

وسجل المهاجمون الملفين التنفيذيين كخدمتين في نظام ويندوز تعملان تلقائياً بصلاحيات النظام الكاملة لضمان الاستمرارية، وعدلوا قواعد الجدار الناري للسماح بحركة المرور الواردة والصادرة، كما استخدموا أدوات إدارة النظام لجمع معلومات عن الجهاز والشبكة، وتواصلوا مع موقع مخصص لتسجيل عناوين الإنترنت للإبلاغ عن بيانات تعريفية.

تحويل الضحايا إلى شبكة خوادم وسيطة.

كشف الباحثون أن البرمجية لم تكن باباً خلفياً تقليدياً، بل عملت كبرنامج يحول الأجهزة إلى خوادم وسيطة، وسجل الأجهزة المصابة ضمن شبكة تُباع للوصول إلى عناوين بروتوكول الإنترنت الحقيقية لمستخدمين عاديين.

واسترجع المكون الرئيسي إعداداته من نطاقات قيادة وتحكم، وأنشأ اتصالات عبر منافذ غير قياسية، مستخدماً بروتوكولاً مُشفراً لإخفاء أوامر التحكم.

وأظهرت المؤشرات ارتباط الحملة ببنية أوسع استخدمت أسماء ملفات مشابهة للترويج عبر تطبيقات وخدمات مختلفة.

استخدمت البرمجية تقنيات لاكتشاف البيئات الافتراضية، ونفذت فحوصات مضادة للتنقيح، كما اعتمدت اتصالات مشفرة عبر بروتوكول نقل النص الفائق الآمن، إضافة إلى استخدام نظام أسماء النطاقات عبر اتصال مشفّر، ما صعّب الرصد الشبكي التقليدي.

ودعت الشركة إلى اعتبار أي نظام شغل مُثبتاً من «7zip.

com» جهازاً مخترقاً، وأكدت أن برمجيات الحماية قادرة على إزالة المكونات الخبيثة وعكس آليات الاستمرارية، مع إمكانية إعادة تثبيت نظام التشغيل في الحالات عالية الخطورة.

ولفت خبراء شركة Malwarebytes إلى اعتماد الحملة على انتحال العلامة التجارية وثقة المستخدمين بدل استغلال ثغرات برمجية، ما سمح لها بالعمل لفترات طويلة دون اكتشاف، وحول تنزيل أداة يومية إلى بنية لتحقيق أرباح غير مشروعة.