بواسطة: رافي لاكشمان | The Hacker News
يتم استخدام المثبتات المزيفة لأدوات الذكاء الاصطناعي الشهيرة مثل OpenAI ChatGPT و InVideo AI كإغراءات لنشر التهديدات المختلفة، مثل عائلات برامج الفدية CyberLock و Lucky_Gh0$t، والبرمجيات الخبيثة الجديدة المسمى Numero.
قال تشيتان راغوبراساد، الباحث في شركة سيسكو تالوس ، في تقرير نُشر اليوم: "يركز برنامج الفدية CyberLock، المُطور باستخدام PowerShell، بشكل أساسي على تشفير ملفات محددة على نظام الضحية". وأضاف: "برنامج الفدية Lucky_Gh0$t هو نسخة أخرى من برنامج الفدية Yashma ، وهو الإصدار السادس من سلسلة برامج الفدية Chaos، مع تعديلات طفيفة فقط على الملف الثنائي لبرنامج الفدية".
من ناحية أخرى، يعد Numero برنامجًا ضارًا مدمرًا يؤثر على الضحايا من خلال التلاعب بمكونات واجهة المستخدم الرسومية (GUI) لنظام التشغيل Windows الخاص بهم، مما يجعل الأجهزة غير صالحة للاستخدام.
وقالت شركة الأمن السيبراني إن الإصدارات المشروعة من أدوات الذكاء الاصطناعي تحظى بشعبية في مجال المبيعات بين الشركات (B2B) وقطاع التسويق، مما يشير إلى أن الأفراد والمنظمات في هذه الصناعات هم المحور الأساسي للجهات الفاعلة المهددة وراء الحملة.
أحد مواقع حلول الذكاء الاصطناعي المزيفة هو "novaleadsai[.]com"، والذي يُحتمل أنه ينتحل صفة منصة ربح عملاء محتملين تُسمى NovaLeads. ويُشتبه في أن الموقع يُروّج له باستخدام تقنيات تحسين محركات البحث (SEO) لتحسين ترتيبه في محركات البحث الإلكترونية بشكل مصطنع.
يُحثّ المستخدمون الذين يزورون الموقع الإلكتروني على تنزيل المنتج مدّعين توفير وصول مجاني إلى الأداة للسنة الأولى، مع اشتراك شهري بقيمة 95 دولارًا أمريكيًا بعد ذلك. ما يتم تنزيله فعليًا هو ملف مضغوط يحتوي على ملف .NET قابل للتنفيذ ("NovaLeadsAI.exe")، والذي جُمّع في 2 فبراير 2025، وهو نفس يوم إنشاء النطاق الوهمي. يعمل الملف الثنائي، بدوره، كمحمّل لنشر برنامج الفدية CyberLock المستند إلى PowerShell.
برنامج الفدية مُجهّز لرفع مستوى الامتيازات وإعادة تشغيل نفسه بصلاحيات إدارية، إن لم يكن مُفعّلاً بالفعل، ويُشفّر الملفات الموجودة في الأقسام "C:" و"D:" و"E:" التي تُطابق مجموعة مُحددة من الامتدادات. ثم يُرسل مُذكرة فدية تُطالب بدفع مبلغ 50,000 دولار أمريكي بعملة مونيرو إلى محفظتين خلال ثلاثة أيام.
وفي تطور مثير للاهتمام، يواصل الجاني التهديدي الادعاء في مذكرة الفدية بأن المدفوعات ستُخصص لدعم النساء والأطفال في فلسطين وأوكرانيا وأفريقيا وآسيا ومناطق أخرى حيث "الظلم هو حقيقة يومية".
نطلب منكم مراعاة أن هذا المبلغ زهيد مقارنةً بأرواح الأبرياء الذين يُزهَقون، وخاصةً الأطفال الذين يدفعون الثمن غاليًا. للأسف، توصلنا إلى أن الكثيرين غير مستعدين للتطوع للمساعدة، مما يجعل هذا هو الحل الوحيد المُمكن.
تتضمن الخطوة الأخيرة قيام الجهة الفاعلة بالتهديد باستخدام الملف الثنائي " cipher.exe " (LoLBin) مع خيار "/w" لإزالة مساحة القرص غير المستخدمة المتوفرة على المجلد بالكامل من أجل إعاقة الاسترداد الجنائي للملفات المحذوفة.
وقالت شركة Talos إنها لاحظت أيضًا وجود جهة تهديد تقوم بتوزيع برنامج الفدية Lucky_Gh0$t تحت ستار برنامج تثبيت مزيف لإصدار مميز من ChatGPT.
قال راغوبراساد: "احتوى مُثبِّت SFX الخبيث على مجلد يحتوي على ملف الفدية Lucky_Gh0$t القابل للتنفيذ باسم 'dwn.exe'، والذي يُحاكي ملف مايكروسوفت التنفيذي الشرعي 'dwm.exe'". وأضاف: "احتوى المجلد أيضًا على أدوات ذكاء اصطناعي مفتوحة المصدر شرعية من مايكروسوفت، متاحة على مستودع GitHub الخاص بها للمطورين وعلماء البيانات الذين يعملون في مجال الذكاء الاصطناعي، وخاصةً ضمن بيئة Azure".
إذا شغّل الضحية ملف تثبيت SFX الخبيث، فسينفّذ البرنامج النصي SFX حمولة برنامج الفدية. يستهدف Lucky_Gh0$t، وهو أحد أنواع برنامج الفدية Yashma، الملفات التي يقل حجمها تقريبًا عن 1.2 جيجابايت للتشفير، ولكن ليس قبل حذف النسخ الاحتياطية والنسخ الاحتياطية.
تتضمن مذكرة الفدية التي تم إسقاطها في نهاية الهجوم معرف فك تشفير شخصي فريد وتطلب من الضحايا التواصل معهم عبر تطبيق المراسلة Session للحصول على فدية والحصول على فك التشفير.
وأخيرًا وليس آخرًا، يستغل الجناة أيضًا الاستخدام المتزايد لأدوات الذكاء الاصطناعي لزرع المشهد عبر الإنترنت باستخدام برنامج تثبيت مزيف لـ InVideo AI، وهي منصة إنشاء فيديو تعمل بالذكاء الاصطناعي، لنشر برنامج ضار مدمر يحمل الاسم الرمزي Numero.
يعمل المُثبِّت المُزوَّر كمُرسِل يحتوي على ثلاثة مكونات: ملف دفعي لنظام Windows، ونص برمجي لـ Visual Basic، وملف Numero التنفيذي. عند تشغيل المُثبِّت، يُشغَّل ملف الدفعي عبر واجهة Windows shell في حلقة لا نهائية، والتي بدورها تُنفِّذ Numero ثم تُوقِفُه مؤقتًا لمدة 60 ثانية بتشغيل نص VB عبر cscript.
بعد استئناف التنفيذ، يُنهي ملف الدفعة عملية برمجية Numero الخبيثة ويُعيد تشغيلها، وفقًا لـ Talos. "بتنفيذ الحلقة اللانهائية في ملف الدفعة، يستمر تشغيل برمجية Numero الخبيثة على جهاز الضحية."
Numero، وهو ملف تنفيذي بنظام ويندوز ٣٢ بت، مكتوب بلغة C++، يتحقق من وجود أدوات تحليل البرامج الضارة ومصححات الأخطاء بين العمليات الجارية، ويستبدل عنوان نافذة سطح المكتب وأزرارها ومحتوياتها بالسلسلة الرقمية "١٢٣٤٥٦٧٨٩٠". تم تجميعه في ٢٤ يناير ٢٠٢٥.
ويأتي هذا الكشف في الوقت الذي كشفت فيه شركة Mandiant المملوكة لشركة Google عن تفاصيل حملة إعلانية خبيثة تستخدم إعلانات ضارة على Facebook وLinkedIn لإعادة توجيه المستخدمين إلى مواقع ويب مزيفة تنتحل أدوات إنشاء فيديو الذكاء الاصطناعي المشروعة مثل Luma AI وCanva Dream Lab وKling AI وغيرها.
هذا النشاط، الذي كشفته مؤخرًا شركتا Morphisec و Check Point في وقت سابق من هذا الشهر، يُعزى إلى مجموعة تهديدات تُحددها شركة التكنولوجيا العملاقة باسم UNC6032، ويُقدر أن لها صلة بفيتنام. الحملة نشطة منذ منتصف عام 2024 على الأقل.
يتم تنفيذ الهجوم على النحو التالي: يُطلب من المستخدمين غير المنتبهين الذين يزورون هذه المواقع الإلكترونية إدخال مُطالبة لإنشاء فيديو. ومع ذلك، وكما لوحظ سابقًا، لا تُهم هذه المُدخلات، إذ إن المسؤولية الرئيسية للموقع الإلكتروني هي بدء تنزيل حمولة STARKVEIL القائمة على Rust.
صرحت شركة مانديانت: "[STARKVEIL] يُطلق ثلاث عائلات مختلفة من البرمجيات الخبيثة المعيارية، مصممة أساسًا لسرقة المعلومات، وقادرة على تنزيل إضافات لتوسيع وظائفها". وأضافت : "يشير وجود حمولات متعددة ومتشابهة إلى وجود آلية أمان، تسمح للهجوم بالاستمرار حتى في حال اكتشاف بعض الحمولات أو حظرها بواسطة الدفاعات الأمنية".
يتم وصف عائلات البرامج الضارة الثلاثة أدناه -
GRIMPULL، أداة تنزيل تستخدم نفق TOR لجلب حمولات .NET إضافية يتم فك تشفيرها وفك ضغطها وتحميلها في الذاكرة كتجمعات .NET
FROSTRIFT، وهو باب خلفي .NET يجمع معلومات النظام وتفاصيل حول التطبيقات المثبتة ويبحث عن 48 ملحقًا مرتبطًا بمديري كلمات المرور والمصادقين ومحافظ العملات المشفرة على متصفحات الويب المستندة إلى Chromium
XWorm، وهو حصان طروادة معروف للوصول عن بعد (RAT) يعتمد على .NET ويتميز بميزات مثل تسجيل الضغطات على لوحة المفاتيح، وتنفيذ الأوامر، والتقاط الشاشة، وجمع المعلومات، وإخطار الضحية عبر Telegram
يعمل STARKVEIL أيضًا كقناة لإطلاق قطارة تعتمد على Python تحمل الاسم الرمزي COILHATCH والتي تتمثل مهمتها في الواقع في تشغيل الحمولات الثلاثة المذكورة أعلاه عبر التحميل الجانبي لـ DLL.
قالت مانديانت: "لم تعد أدوات الذكاء الاصطناعي تستهدف مصممي الجرافيك فحسب؛ إذ يُمكن لأي شخص أن ينجذب إليها بإعلان يبدو غير ضار". وأضافت: "إن إغراء تجربة أحدث أدوات الذكاء الاصطناعي قد يُؤدي إلى وقوع أي شخص ضحية".