الصفحة الرئيسية
Cyber-Security

حملة برمجيات خبيثة متطورة تستغل كلود AI المزيف عبر تقنيات تحميل

Cybersecurity Arab

حملة برمجيات خبيثة متطورة تستغل كلود AI المزيف عبر تقنيات تحميل DLL معقدة

في تطور مقلق بساحة الأمن السيبراني، كشفت شركة Sophos X-Ops عن حملة برمجيات خبيثة جديدة ومتطورة تستغل الاهتمام المتزايد بمساعدات الذكاء الاصطناعي لخداع الضحايا. تستخدم الحملة موقعًا إلكترونيًا مزيفًا يحاكي بدقة خدمة الذكاء الاصطناعي الشهيرة "كلود" (Claude) من Anthropic، لتوزيع برمجيات ضارة معقدة على المستخدمين المستهدفين. ما يجعل هذه الحملة بالغة الخطورة هو استخدامها لسلسلة من التقنيات التي كانت تُرى في السابق بشكل أساسي في عمليات التجسس المرتبطة بالدول، مما يشير إلى مستوى عالٍ من الاحترافية والخبرة لدى المهاجمين.

Hackers Use PlugX-Like DLL Sideloading Chain in Fake Claude Malware Campaign
Hackers Use PlugX-Like DLL Sideloading Chain in Fake Claude Malware Campaign
Hackers Use PlugX-Like DLL Sideloading Chain in Fake Claude Malware Campaign
صورة توضيحية: هجمات الـ DLL Sideloading في حملة برامج ضارة مزيفة لـ Claude.

تفاصيل الحملة والاحتيال الرقمي

يبدأ الهجوم بإعداد موقع ويب زائف شديد الإقناع، يحمل عنوانًا مثل claude-pro[.]com، والذي صُمم ليطابق تمامًا مظهر وملمس موقع Claude الحقيقي، باستخدام خطوط وأنظمة ألوان متماثلة. يتم استدراج الزوار لتنزيل برنامج يُسمى "Claude-Pro Relay"، وهو عبارة عن أرشيف ZIP كبير يحتوي على مثبت كامل لنظام ويندوز.

بمجرد تشغيل هذا المثبت، يقوم بإسقاط ثلاثة ملفات خبيثة بصمت في مجلد بدء تشغيل المستخدم، مما يضمن تنفيذها تلقائيًا في كل مرة يتم فيها تشغيل النظام. هذه العملية تُمكن المهاجمين من زرع باب خلفي في الأنظمة المخترقة دون علم المستخدم، مانحين أنفسهم وصولاً مستمرًا وتحكمًا سريًا.

اكتشف باحثو Sophos X-Ops هذه الحملة بعد التحقيق في تقارير حول موقع Claude المزيف الذي كان يوزع البرامج الضارة بنشاط. وعلى الرغم من أن سلسلة الهجوم بدت في البداية وكأنها عملية PlugX كلاسيكية، إلا أن الفحص الدقيق كشف عن تهديد جديد وغير متوقع: باب خلفي لم يتم توثيقه مسبقًا أطلقوا عليه اسم "Beagle"، بالإضافة إلى محمل المرحلة الأولى المعروف باسم "DonutLoader".

سلسلة الاختراق والتحميل الجانبي للـ DLL

ما يميز هذه الحملة بشكل خاص هو كيفية دمجها لأساليب الهجوم القديمة والموثقة جيدًا مع حمولة (payload) مصممة حديثًا. تشير إعادة استخدام مفتاح XOR مشترك عبر عينات متعددة من أوائل عام 2026 إلى أن هذا ليس جهدًا لمرة واحدة، بل جزء من تطوير مستمر على مدى عدة أشهر، حيث أظهرت العينات ذات الصلة حمولات وسلاسل إصابة مختلفة.

تبدأ عملية الإصابة بمجرد قيام المستخدم بتشغيل مثبت Claude.msi، والذي يقوم بإسقاط ثلاثة ملفات: NOVupdate.exe و NOVupdate.exe.dat و avk.dll. يُعد NOVupdate.exe ملفًا شرعيًا وموقعًا رقميًا من برنامج مكافحة الفيروسات G DATA. لكن المهاجمين يستبدلون ملف avk.dll الأصلي بنسخة ضارة، مما يخدع الملف التنفيذي الموثوق به لتحميل المكتبة الضارة.

تُعرف هذه التقنية بـ "تحميل DLL الجانبي" (DLL Sideloading)، وهي سمة مميزة لحملات PlugX التي يعود تاريخها لأكثر من عقد من الزمان. يقوم ملف DLL الخبيث بفك تشفير الحمولة المخفية داخل NOVupdate.exe.dat باستخدام مفتاح XOR ثابت، ويقوم بتشغيل النتائج بالكامل في الذاكرة. هذا النهج القائم على الذاكرة يجعل الكشف عنه أكثر صعوبة لأدوات الأمان التقليدية. يتضح أن المحتوى المفكوك التشفير هو رمز DonutLoader shellcode، وهو محمل مفتوح المصدر ارتبط سابقًا بهجمات متطورة على المنظمات الحكومية. يكرر هذا المزيج من ثنائي شرعي موقع، وملف DLL ضار تم تحميله جانبيًا، وملف بيانات مشفر، إعدادات هجوم PlugX المعروفة عن كثب. ومع ذلك، على الرغم من الهيكل المتطابق تقريبًا، فإن الحمولة النهائية هنا ليست PlugX، بل تفتح الباب لتهديد مختلف وجديد تمامًا.

الباب الخلفي Beagle والبنية التحتية للقيادة والتحكم

بمجرد تنفيذ DonutLoader، فإنه يقوم بتسليم الحمولة النهائية: الباب الخلفي Beagle. يتصل Beagle بخادم القيادة والتحكم (C2) على النطاق license[.]claude-pro[.]com (IP: 8.217.190.58) عبر منفذ TCP 443 ومنفذ UDP 8080، مستخدمًا مفتاح AES ثابتًا لتشفير جميع حركة المرور. من خلال هذا الاتصال، يمكن للمهاجم تحميل وتنزيل الملفات، وتشغيل الأوامر، وإدارة الدلائل، والحفاظ على الوصول المستمر إلى الجهاز المخترق.

وجد باحثو Sophos أيضًا عينات ذات صلة على VirusTotal تعود إلى فبراير 2026. استخدم أحد المتغيرات أداة Microsoft Defender كـ "ثنائي مضيف موثوق"، بينما أدت عينة من مارس 2026 إلى نشر AdaptixC2، وهو إطار عمل مفتوح المصدر لفرق الاختراق الحمراء (red team framework) مرتبط بأنشطة برامج الفدية. تشير هذه النتائج إلى أن البنية التحتية الأساسية قد تخدم حملات متعددة أو جهات تهديد في وقت واحد، مما يدل على استغلال واسع النطاق لهذه الثغرات والتقنيات.

ماذا يعني هذا لك؟

تُسلط هذه الحملة الضوء على التحديات المتزايدة التي يواجهها الأفراد والشركات في المشهد الرقمي الحالي. مع تزايد تعقيد الهجمات، يصبح من الضروري اتخاذ إجراءات وقائية قوية:

  • توخي الحذر من المصادر غير الموثوقة: دائمًا ما يجب التحقق من مصدر أي برنامج أو ملف تنوي تنزيله. استخدم فقط المواقع الرسمية والموثوقة للمنتجات والخدمات. المواقع المزيفة قد تبدو متطابقة، لذا تحقق جيدًا من عنوان URL في شريط المتصفح.
  • الحذر من عمليات التصيد: كن يقظًا تجاه رسائل البريد الإلكتروني أو الرسائل التي تطلب منك تنزيل برامج أو النقر على روابط، حتى لو بدت وكأنها من مصادر معروفة.
  • تحديث البرامج وأنظمة التشغيل: تأكد دائمًا من أن نظام التشغيل وجميع البرامج، بما في ذلك برامج مكافحة الفيروسات، محدثة بأحدث التصحيحات الأمنية. يساعد ذلك في سد الثغرات التي قد يستغلها المهاجمون.
  • استخدام حلول أمنية قوية: قم بتثبيت وتشغيل برنامج موثوق لمكافحة الفيروسات والبرامج الضارة (مثل G DATA أو Microsoft Defender) مع تحديثات منتظمة.
  • التوعية الأمنية: تعليم نفسك وموظفيك حول أساليب الهندسة الاجتماعية الشائعة، وكيفية التعرف على مواقع الويب المزيفة وعمليات التصيد الاحتيالي.

الخلاصة

تُظهر حملة البرامج الضارة المزيفة التي تستهدف Claude AI كيف يتكيف مجرمو الإنترنت مع التوجهات التكنولوجية الحديثة لاستغلال ثقة المستخدمين. إن دمج تقنيات تحميل DLL الجانبي المعقدة مع حمولات جديدة مثل باب الخلفي Beagle ومحمل DonutLoader، يؤكد على الحاجة الماسة إلى اليقظة الأمنية المستمرة. مع استمرار تطور الذكاء الاصطناعي، ستستمر أساليب الهجوم في التطور أيضًا. لذا، فإن فهم هذه التهديدات وتطبيق أفضل الممارسات الأمنية ليس مجرد خيار، بل ضرورة حتمية لحماية الأصول الرقمية والبيانات الشخصية في عالم مترابط بشكل متزايد.

المراجع:
accounts.google.com
news.google.com
Google

إرسال تعليق