كشفت منصة تحليل البرمجيات الخبيثة ANY.RUN عن حملة إلكترونية جديدة تستخدم أداة تحميل خبيثة تُعرف باسم JSGuLdr، وهي أداة متعددة المراحل تعتمد على JavaScript وPowerShell لتثبيت برمجية تجسس تُدعى Phantom Stealer. تبدأ السلسلة الهجومية بملف JavaScript يُفعّل PowerShell من خلال استدعاء Explorer COM، ثم يجلب المرحلة الثانية من مجلد %APPDATA%\Registreri62، ويستخدم Net.WebClient لتحميل حمولة مشفرة من Google Drive إلى مجلد %APPDATA%\Autorise131[.]Tel.
التحميل في الذاكرة: تقنية خفية لتجاوز أنظمة الحماية
ما يجعل هذا الهجوم خطيرًا هو اعتماده على تقنيات التحميل داخل الذاكرة (fileless in-memory loading)، حيث يتم فك تشفير الحمولة وتشغيلها مباشرة في الذاكرة دون إنشاء ملفات على القرص الصلب. يتم حقن برمجية Phantom Stealer داخل عملية موثوقة في النظام وهي msiexec.exe، مما يمنح المهاجمين القدرة على التحرك داخل الشبكة وسرقة البيانات دون إثارة الشبهات أو اكتشافهم من قبل برامج الحماية التقليدية.
Phantom Stealer: أداة تجسس متقدمة تستهدف المعلومات الحساسة
Phantom Stealer هي برمجية خبيثة متخصصة في سرقة المعلومات، وتستهدف بيانات الاعتماد، ملفات تعريف المتصفح، محافظ العملات الرقمية، ومعلومات النظام. بفضل تقنيات التمويه والتشفير، يصعب اكتشافها، خاصة عندما تُحقن داخل عمليات نظام موثوقة. ويُعتقد أن هذه البرمجية تُستخدم من قبل جهات تهديد متقدمة تسعى لتحقيق مكاسب مالية من خلال بيع البيانات أو استخدامها في هجمات لاحقة.
دلالات أمنية وتحذيرات للمؤسسات
تعكس هذه الحملة تطورًا في أساليب الهجمات الإلكترونية، حيث يجمع المهاجمون بين تقنيات التمويه، التحميل المرحلي، والتنفيذ داخل الذاكرة لتفادي الكشف. وتُعد هذه الهجمات تذكيرًا بضرورة تحديث استراتيجيات الدفاع السيبراني، بما في ذلك مراقبة العمليات الموثوقة، تحليل سلوك النظام، وتطبيق حلول أمنية قادرة على اكتشاف الأنشطة غير الاعتيادية داخل الذاكرة.
