حذر باحثو الأمن السيبراني من حملة خبيثة تستغل الشعبية المتصاعدة لأداة البرمجة غوغل" Antigravity"، عبر مواقع مزيفة تقدم برنامج تثبيت يبدو شرعياً بالكامل، لكنه يخفي برمجية تجسس قادرة على سرقة الحسابات والبيانات خلال دقائق، من دون أن يلاحظ المستخدم أي شيء غير طبيعي.
وبحسب التحليل الأمني، تنتحل الحملة موقع الأداة الرسمي عبر نطاقات مزيفة شبيهة، مثل" google-antigravity[.
]com" بدلاً من الموقع الحقيقي" antigravity.
google"، تدفع الضحايا لتنزيل ملف يبدو طبيعياً باسم" Antigravity_v1.
22.
2.
exe" بحجم 138 ميغابايت، وهو في الواقع يحتوي النسخة الأصلية من البرنامج، لكن مع تعديل خفي يسمح بتشغيل سكربت" PowerShell" ضار أثناء التثبيت.
الخطورة، وفق الباحثين، أن البرنامج يعمل فعلاً كما هو متوقع، ويُثبت أداة" أنتي غرافيتي" الحقيقية بنجاح، مع ظهور اختصار على سطح المكتب وتشغيل طبيعي، بينما يجري الهجوم في الخلفية.
المُثبت الخبيث يُسقط ملفين نصيين في الجهاز، أحدهما يتصل بخادم المهاجم عبر" HTTPS" على العنوان" opus-dsn[.
]com"، وآخر عبر عنوان" IP 89[.
]124[.
]96[.
]27"، لجلب أوامر إضافية عند اختيار الضحية للهجوم.
وبحسب موقع" Malware bytes"، فإن المهاجم إذا قرر التصعيد، تبدأ العملية بثلاث خطوات خطيرة:1- تعطيل الحماية: استثناء ملفات وعمليات من فحص" ويندوز ديفيندر" وتعطيل واجهة فحص البرمجيات الضارة" AMSI".
2- الزرع والتزييف: تنزيل ملف مشفّر مموّه باسم صورة" secret.
png" من" captr.
b-cdn[.
]net"، وإنشاء مهمة مجدولة مزيفة باسم يشبه مهام تحديث مايكروسوفت إيدج.
3- تحميل برمجية تجسس: تشغيل حمولة خبيثة في الذاكرة فقط دون ترك ملف تنفيذي واضح على القرص.
الحمولة المكتشفة تستهدف: كلمات المرور المحفوظة في المتصفحات، وملفات تعريف الارتباط (كوكيز) التي تسمح باختطاف الجلسات دون كلمة مرور أو 2FA، وكذلك بيانات البطاقات المحفوظة وحقول التعبئة التلقائية، ورموز ديسكورد، وتليغرام، وبيانات" ستيم" و" FTP"، ومحافظ العملات المشفرة.
الحمولة لا تكتفي بالسرقة، بل تتضمن أدوات لتسجيل ضغطات المفاتيح، واختطاف الحافظة لتبديل عناوين محافظ العملات، وحتى إنشاء" سطح مكتب مخفي" يسمح للمهاجم بالعمل داخل جهاز الضحية دون ظهور أي نشاط على الشاشة.
من جانبهم، يرى الباحثون أن الخطورة تكمن في كون الهجوم جزء من نمط متكرر يستغل إطلاق أدوات الذكاء الاصطناعي الجديدة، حيث تظهر سريعاً مواقع مقلدة وبرامج تثبيت ملغّمة قبل أن يتعرف المستخدمون على المصادر الأصلية.
إذا حملت" غوغل أنتي غرافيتي" من أي مصدر غير" antigravity.
google"، ينصح الخبراء بالتحرك فوراً وتنفيذ الآتي:البحث عن اتصالات بالمؤشرات: " opus-dsn[.
]com"، و" captr.
b-cdn[.
]net"، و" 89[.
]124[.
]96[.
]27".
تسجيل الخروج من جميع الجلسات النشطة للحسابات المهمة.
تغيير كلمات المرور ومفاتيح" API" فوراً.
نقل أصول العملات الرقمية من جهاز نظيف.
مراقبة الحسابات البنكية لأي نشاط غير معتادإعادة تثبيت ويندوز بالكامل وعدم الوثوق بالجهاز المصاب.
إبلاغ فريق تقنية المعلومات فوراً إذا كان الجهاز تابعاً للعمل.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك