برمجية OXLOADER الخبيثة تستغل إعلانات Google لتوزيع CastleStealer

مقدمة تحليلية

كشفت أبحاث Elastic Security Labs مؤخراً عن حملة هجومية جديدة وخطيرة، تحمل الاسم الرمزي REF8372، تستخدم مُحملاً خبيثاً لم يتم الإبلاغ عنه سابقاً يُدعى OXLOADER. تكمن خطورة هذه الحملة في أنها تستغل إعلانات Google الخبيثة كنقطة انطلاق رئيسية لتوزيع سارق المعلومات الشهير CastleStealer. هذا التطور يسلط الضوء على تكتيكات المهاجمين المتزايدة في استخدام قنوات موثوقة مثل محركات البحث لاختراق أنظمة الضحايا، مما يمثل تحدياً كبيراً لأمن النقاط النهائية وكشف التهديدات المتقدمة. البيانات تشير إلى أن الجهات الفاعلة وراء هذا الهجوم قد تكون ناطقة بالروسية ولديها دوافع مالية، مع وجود استثناءات صريحة لتجنب إصابة الأجهزة الموجودة في منطقة رابطة الدول المستقلة (CIS). إن استغلال إعلانات Google كمتجه أساسي للهجوم يشير إلى مستوى عالٍ من التعقيد في الهندسة الاجتماعية، حيث ينجذب المستخدمون الباحثون عن برمجيات شرعية، مثل "lts version of node.js"، إلى نتائج بحث مضللة تقودهم إلى مواقع ويب مزيفة. هذه التقنية لا تزيد فقط من فرص الإصابة، بل تقلل أيضاً من احتمالية الشك لدى الضحية، مما يجعل اكتشاف الهجوم أكثر صعوبة. تتجلى قدرة OXLOADER على الإفلات من الكشف في طبقات التعمية المتعددة التي يستخدمها، مما يجعله تحدياً حقيقياً لأدوات الحماية التقليدية، وهو ما يستدعي مراجعة شاملة لاستراتيجيات الأمن السيبراني الحالية. يضع هذا الاكتشاف OXLOADER في طليعة التهديدات التي تتطلب مراقبة دقيقة.

التحليل التقني

تبدأ دورة الهجوم عندما يقوم المستخدمون غير المرتابين بالبحث عن مصطلحات شائعة مثل "lts version of node.js" على محركات البحث. تقوم الإعلانات الخبيثة على Google، التي تظهر أحياناً تحت أسماء موثقة مثل "ВОЛОДИМИР ТЕРЕЩЕНКО" (الذي يُزعم أنه من أوكرانيا)، بتوجيه هؤلاء المستخدمين إلى مواقع ويب مزيفة مثل "node-js[.]prentiva99[.]info". تجدر الإشارة إلى أن حساب المعلن وحملاته الإعلانية قد أُزيلت من Google في 14 مايو 2026. بمجرد تفاعل المستخدم مع الموقع المزيف، يتم تقديم نص برمجي (batch script) يتم استضافته على Storj، وهي منصة تخزين سحابي لامركزية ومفتوحة المصدر. يوضح هذا الاستغلال لـ Storj كيف يواصل المهاجمون استخدام الخدمات المشروعة للتهرب من مرشحات سمعة النطاقات. عند تشغيل النص البرمجي، يتم عرض واجهة مستخدم (UI) معالج تثبيت وهمي، بينما يقوم في الخفاء بتنزيل الحمولة المرحلة التالية، وهو ملف تنفيذي (executable) مستضاف أيضاً على Storj يُدعى OXLOADER، من خلال أمر PowerShell ويتم تشغيله باستخدام `–Verb RunAs`، مما يؤدي إلى ظهور مطالبة التحكم في حساب المستخدم (UAC) في Windows. تعتمد برمجية OXLOADER على مجموعة واسعة من التقنيات المتقدمة لتجنب الكشف والتحليل. تشمل هذه التقنيات:

• تعمية تدفق التحكم (Control-Flow Flattening - CFF): تعديل بنية الكود لجعل تتبع تسلسل التنفيذ أمراً صعباً للغاية لأدوات التحليل الثابتة.
• التعبيرات المعقدة (Opaque Predicates): إدخال شروط منطقية تكون دائماً صحيحة أو خاطئة، ولكن يتم استخدامها لتضليل أدوات التحليل الآلي.
• الحسابات البولية المختلطة (Mixed Boolean-Arithmetic - MBA): استبدال العمليات المنطقية البسيطة بتعبيرات حسابية أكثر تعقيداً لجعل عملية فك التشفير أكثر صعوبة.
• مقاطع فك التشفير ذاتية التعديل (Self-modifying decryption stubs): تعديل أجزاء من الكود الخاص بها أثناء التشغيل لفك تشفير أجزاء أخرى، مما يزيد من صعوبة تحليلها.
• إساءة استخدام قسم `.reloc` في Windows: استغلال هذا القسم لتحميل وتجهيز `shellcode`، وهي طريقة غير تقليدية تساهم في التهرب من آليات الكشف.
• إجراءات مقاومة بيئات المحاكاة (Anti-VM measures): تتخذ OXLOADER خطوات لضمان عدم تشغيلها في بيئات الاختبار المعزولة أو الأجهزة الافتراضية، مما يمنحها نافذة للعمل قبل اكتشافها.

بعد تنفيذ OXLOADER بنجاح، يقوم الهجوم بتوظيف تقنية حقن DLL (DLL side-loading) لإطلاق مكتبة `DLL` مارقة تقوم بفك تشفير وتنفيذ حمولة CastleStealer. CastleStealer هو سارق معلومات مكتوب بلغة .NET، وقد تم توزيعه مؤخراً إلى جانب CastleLoader من خلال إغراء بأسلوب ClickFix يتنكر كأداة مجانية لتحرير الصور كجزء من حملة تحمل الاسم الرمزي BackgroundFix. يُنسب CastleLoader إلى مجموعة نشاط تهديد تُعرف باسم GrayBravo، مما يشير إلى روابط محتملة بين المجموعات أو إعادة استخدام الأدوات.

السياق وتأثير السوق

تتوالى حملات البرمجيات الخبيثة التي تستغل إعلانات Google كمتجه للهجوم، مما يعكس تحولاً خطيراً في أساليب التهديد السيبراني. لم تعد الإعلانات مجرد أدوات تسويقية، بل أصبحت بوابات محتملة للبرمجيات الخبيثة، مما يقوض ثقة المستخدمين في منصات البحث والإعلان. إن استخدام المهاجمين لخدمات مشروعة وموثوقة مثل Google Ads وStorj يبرهن على استراتيجية متطورة تهدف إلى التهرب من مرشحات الكشف التقليدية التي تعتمد على سمعة النطاقات، مما يجعل مهمة الدفاع أكثر تعقيداً. تتجلى الدوافع المالية وراء حملة REF8372 بوضوح من خلال استثناء الأجهزة الموجودة في منطقة رابطة الدول المستقلة، وهو تكتيك شائع بين مجموعات الجرائم الإلكترونية التي تتجنب استهداف المناطق التي قد تخضع للتحقيق من قبل سلطات إنفاذ القانون المحلية. هذا يشير إلى عملية منظمة وذات أهداف ربحية واضحة. إن التقنيات الهندسية المستخدمة في OXLOADER، من طبقات التعمية المعقدة إلى آليات مقاومة الأجهزة الافتراضية، تعكس استثماراً كبيراً في التطوير، وهو ما يؤتي ثماره في شكل معدلات اكتشاف منخفضة عبر محركات الفحص الساكنة وعمليات التنفيذ التجريبية. هذا يمنح OXLOADER وقتاً قيماً للعمل قبل أن يتم اكتشافه وإزالته. يشير Elastic Security Labs إلى أن OXLOADER لا يزال في مرحلة تشغيل مبكرة، لكن الهندسة التي تقف وراءه تجعله عائلة برمجيات خبيثة تستحق المراقبة عن كثب. مقارنةً بالمحملات السابقة، يبدو أن OXLOADER يمتلك قدراً أكبر من المرونة والقدرة على التخفي، مما يجعله تهديداً أكثر استمرارية وفتكاً. يساهم هذا التطور في تعزيز الحاجة الملحة إلى حلول أمنية تستند إلى التحليل السلوكي والذكاء الاصطناعي بدلاً من الاعتماد الكلي على التوقيعات، لمواكبة التكتيكات المتغيرة باستمرار للمهاجمين.

رؤية Glitch4Techs

من منظور Glitch4Techs، يمثل ظهور OXLOADER واستغلاله لإعلانات Google مؤشراً مقلقاً على تصاعد حرب "القط والفأر" في الأمن السيبراني. إن الكفاءة الهندسية وراء OXLOADER، مع تعميتها المتطورة ومقاييسها المضادة لـVM، تجعل منه نموذجاً لتهديدات الجيل الجديد التي تتجاوز بسهولة الدفاعات التقليدية. هذا يشير إلى أن التركيز يجب أن يتحول من مجرد اكتشاف البرمجيات الخبيثة إلى فهم وتحليل آليات التوزيع والتخفي المعقدة. تكمن إحدى أبرز نقاط الضعف التي تكشفها هذه الحملة في الثقة المفرطة التي يوليها المستخدمون لمنصات البحث والإعلان. على الرغم من أن Google تعمل على إزالة الإعلانات الخبيثة، فإن الطبيعة المتسارعة للحملات تعني أن الضرر قد يحدث بالفعل قبل اتخاذ إجراء. يتطلب هذا نهجاً متعدد الطبقات للأمن، لا يقتصر على الحلول التقنية المتقدمة مثل EDR/XDR التي يمكنها تحليل السلوك الشاذ على النقاط النهائية، بل يمتد ليشمل التعليم المستمر للمستخدمين حول مخاطر التصيد الاحتيالي والروابط المشبوهة، حتى لو بدت أنها تأتي من مصادر موثوقة. نتوقع أن تشهد الفترة القادمة مزيداً من الابتكار في تقنيات "العيش من الأرض" (living-off-the-land) واستغلال ميزات النظام المشروعة من قبل المهاجمين، بالإضافة إلى تطور مستمر في تعمية الشفرات لزيادة صعوبة التحليل. يجب على المؤسسات الاستثمار في حلول الأمن السلوكي القادرة على كشف الأنشطة غير العادية، بغض النظر عن طريقة التعمية أو مصدر التحميل. كما يتوجب على مطوري منصات الإعلان ومحركات البحث تعزيز آليات المراقبة الوقائية والكشف الاستباقي للحد من انتشار هذه الإعلانات الخبيثة، بدلاً من الاكتفاء بالاستجابة بعد وقوع الهجوم. إن المعركة ضد OXLOADER وأمثاله تتطلب يقظة مستمرة وتكيفاً سريعاً في كل من أدوات الدفاع واستراتيجيات الوعي البشري.