- رصدت شركة متخصصة في أمن المعلومات أن قراصنة يُسيئون استخدام أداة الإبلاغ عن الأخطاء الخاصة بنظام ويندوز (Windows Problem Reporting – WerFault.exe) لتحميل البرامج الضارة في ذاكرة النظام المُخترق، وذلك باستخدام تقنية التحميل الجانبي لملفات (.DLL).
- وذكرت شركة (K7 Security Labs) أن الهدف من استخدام ملف ويندوز القابل للتنفيذ WerFault.exe هو إصابة الأجهزة خُفيةً دون إطلاق أي إنذارات على النظام الذي اختُرق، وذلك بتشغيل البرنامج الضار من خلال برنامج ويندوز شرعي قابل للتنفيذ.
- ولم تتمكن الشركة التي رصدت الحملة الجديدة من تحديد القراصنة، لكن يُعتقد أن مقرهم في الصين.
- وأوضحت (K7 Security Labs) أن حملة البرامج الضارة تبدأ بوصول رسالة بريد إلكتروني تحوي مرفق (ISO). وبالنقر عليه نقرًا مزدوجًا، سيُثبّت ISO نفسه كحرف محرك أقراص جديد يحوي نسخةً شرعية من ملف (Windows WerFault.exe) القابل للتنفيذ، والملف faultrep.dll، والملف File.xls، واختصارًا للملف (inventory & our specialties.lnk).
- ويُصاب نظام الضحية فور النقر على ملف الاختصار، الذي يستخدم (scriptrunner.exe) لتنفيذ ملف WerFault.exe. مع الإشارة إلى أن (WerFault) هي أداة الإبلاغ عن أخطاء ويندوز القياسية المستخدمة في نظامي ويندوز 10 وويندوز 11، وهي تسمح للنظام بتتبع الأخطاء المتعلقة بنظام التشغيل أو التطبيقات والإبلاغ عنها. ويستخدم النظام الأداة للإبلاغ عن خطأ وتلقي توصيات الحل المحتملة.
- وتثق أدوات مكافحة الفيروسات عادةً في (WerFault) نظرًا إلى أنه برنامج ويندوز شرعي قابل للتنفيذ ومُصرَّح به من مايكروسوفت، لذا فإن تشغيله على النظام لن يؤدي عادةً إلى إطلاق تنبيهات لتحذير الضحية.
- وفور بدء تشغيل (WerFault.exe)، فإنه يستخدم خللًا معروفًا في التحميل الجانبي لملفات (DLL) بهدف تحميل الملف الخبيث (faultrep.dll) الموجود في ملف (ISO).
- وعادةً ما يكون (faultrep.dll) ملف (DLL) شرعيًا يُوجد في المجلد (C:\Windows\System) المطلوب لتشغيل (WerFault) على النحو الصحيح. ومع ذلك، يحوي إصدار (DLL) الضار في (ISO) رمزًا إضافيًا لتشغيل البرنامج الضار.
- ويُطلق على تقنية إنشاء مكتبات (DLL) ضارة تحت الاسم نفسه للمكتبات الشرعية على نحو تُحمّل به جانبيًا بدلًا منها اسم، (DLL sideloading).
- ويتطلب التحميل الجانبي لملفات (DLL) وجود إصدار ضار من ملف (DLL) في الدليل نفسه، مثل: الملف القابل للتنفيذ الذي يستدعيه. وفور بدء تشغيل الملف القابل للتنفيذ، سيعطي ويندوز الأولوية له على حساب ملف (DLL) الأصلي الخاص به طالما أنه يحمل الاسم نفسه.
- وبتحميل ملف (DLL) الخبيث في هذا الهجوم، فإنه سينشئ مسارين، أحدهما يُحمِّل ملف (DLL) الخاص بملف (Pupy Remote Access Trojan – dll_pupyx64.dll) في الذاكرة، والآخر يفتح جدول بيانات (XLS) المُرفَق ليكون طُعمًا.
- يُذكر أن (Pupy RAT) هو ملف خبيث مفتوح الصدر ومتاح للعامة في لغة البرمجة بايثون (Python) ويدعم تحميل ملفات (DLL) العاكسة لتفادي الاكتشاف، ويُنزِّل وحدات إضافية لاحقًا.
- وتسمح البرامج الضارة لجهات التهديد الفاعلة بالوصول الكامل إلى الأجهزة المصابة، وتمكينها من تنفيذ الأوامر، أو سرقة البيانات، أو تثبيت المزيد من البرامج الضارة، أو الانتشار خلال الشبكة.
- وبوصفها أداة مفتوحة المصدر، فقد استخدمتها العديد من جهات التجسس المدعومة حكوميًا، مثل: مجموعتي (APT33)، و (APT35) الإيرانيتين، ذلك أن تلك الأدوات تجعل عملية الإسناد صعبة التعقب.
- وقد شوهد موزعو برامج (QBot) الخبيثة يتبنون سلسلة هجوم مماثلة الصيف الماضي، حيث أساؤوا استخدام حاسبة ويندوز (Windows Calculator) للتهرب من أن تكتشفها برامج الأمان.
التوقيع
"كلما ارتفع الإنسان تكاثفت حوله الغيوم والمحن."