في الآونة الأخيرة، أصدرت مجموعة من الباحثين في مجال الأمن السيبراني تحذيرات بشأن برمجية خبيثة جديدة تُعرف باسم كوفي لودر (CoffeeLoader)، وهي مصممة لتحميل وتنفيذ حمولات إلكترونية ثانوية. تُظهر هذه البرمجية سلوكيات مشابهة لبرمجية معروفة أخرى تُدعى سموك لودر (SmokeLoader)، وفقًا لتقرير صادر عن زسكيلر ثريت لابز (Zscaler ThreatLabz).

فهم البرمجية: تقنيات متطورة للتحايل على الأمن

تستخدم كوفي لودر (CoffeeLoader) مجموعة من التقنيات المتقدمة لتجاوز الحلول الأمنية في الأجهزة الطرفية، مما يجعل اكتشافها صعبًا على برامج مكافحة الفيروسات (AV) ومنصات الكشف والاستجابة للنقاط الطرفية (EDR). ومن بين هذه التقنيات استخدام حزمة خاصة تعتمد على وحدة معالجة الرسومات (GPU)، وتقنية تزييف مسار الاتصال (Call Stack Spoofing)، وتمويه فترات السكون (Sleep Obfuscation)، واستخدام ألياف ويندوز (Windows Fibers).

تعود أصول البرمجية إلى سبتمبر 2024، وتستخدم خوارزمية توليد النطاقات (DGA) كآلية احتياطية في حال تعذر الوصول إلى قنوات القيادة والسيطرة (C2) الرئيسية. تعتمد البرمجية على ما يُعرف بـ”الباكر” (Packer) الذي يُنفذ الأكواد على وحدة معالجة الرسومات لتصعيب تحليلها في البيئات الافتراضية.

آلية الإصابة والتسلل

تبدأ عملية الإصابة ببرنامج “دروبر” (Dropper) يحاول تنفيذ حمولة DLL بامتيازات مرتفعة. إذا لم تكن لدى الدروبر الأذونات اللازمة، فإنه يحاول تجاوز التحكم في حساب المستخدم (UAC). بالإضافة إلى ذلك، يسعى الدروبر إلى تثبيت نفسه عبر مهمة مجدولة تتكرر كل عشر دقائق أو عند تسجيل دخول المستخدم.

يلي ذلك تنفيذ مكون “ستايجر” (Stager) الذي يحمّل الوحدة الرئيسية، والتي بدورها تعتمد على تقنيات متقدمة لتجنب الكشف، مثل تزييف مسار الاتصال وتمويه فترات السكون. الهدف النهائي لكوفي لودر هو الاتصال بخادم القيادة والسيطرة عبر HTTPS للحصول على البرمجية الخبيثة التالية، بما في ذلك أوامر لحقن وتنفيذ شل كود (Shellcode) رادامانثيس (Rhadamanthys).

الآثار والتداعيات الأمنية

تُظهر البرمجية تشابهات في الشيفرة المصدرية مع سموك لودر (SmokeLoader)، مما يثير احتمال أن تكون كوفي لودر النسخة المتطورة التالية منها، خاصة بعد الجهود القانونية التي أدت إلى تعطيل البنية التحتية لسموك لودر في العام الماضي.

الربط مع الاتجاهات الحالية في التهديدات السيبرانية

يأتي هذا التطور في الوقت الذي كشفت فيه سيكرايت لابز (Seqrite Labs) عن حملة تصيد إلكتروني تستهدف نشر برمجيات خبيثة لسرقة المعلومات تُعرف باسم سنيك كيلوجر (Snake Keylogger). علاوة على ذلك، هناك نشاط آخر يستهدف مستخدمي العملات الرقمية عبر منشورات على Reddit تروج لإصدارات مخترقة من TradingView، مما يغري المستخدمين بتثبيت برمجيات خبيثة على أنظمة Windows وmacOS.

التفكير في المستقبل

مع تزايد التهديدات السيبرانية وتطور تقنيات البرمجيات الخبيثة، يبقى السؤال الأهم: كيف يمكن للمؤسسات والأفراد تعزيز دفاعاتهم ضد هذه البرمجيات المبتكرة التي تستهدف نقاط ضعف جديدة في الأنظمة الأمنية؟

لمتابعة المزيد من الأخبار الحصرية، تابعونا على تويتر وفيسبوك.