تعقيد البرمجيات الخبيثة يقفز بنسبة 127% خلال ستة أشهر فقط

سلاسل تنفيذ متعددة المراحل وتحايلات خفية تشكّل تحدياً جديداً لحلول الكشف التقليدية

تعقيد البرمجيات الخبيثة يقفز بنسبة 127% خلال ستة أشهر فقط
تعقيد البرمجيات الخبيثة يتزايد بفعل سلاسل تنفيذ خفية وحمولات مموهة تعتمد على تقنيات مراوغة متقدمة

كشفت شركة OPSWAT المتخصصة في أمن البنى التحتية الحرجة عن ارتفاع غير مسبوق في تعقيد البرمجيات الخبيثة، بنسبة 127% خلال الأشهر الستة الماضية، وذلك ضمن تقريرها الافتتاحي حول مشهد التهديدات السيبرانية، الذي نُشر في 6 أغسطس خلال فعاليات مؤتمر Black Hat USA.

وأوضحت الشركة أن هذا الارتفاع الحاد في تعقيد البرمجيات الخبيثة ناتج عن ثلاثة عوامل رئيسية مجتمعة:

  • سلاسل تنفيذ متعددة المراحل
  • أدوات تحميل مشفّرة بشكل معقّد (مثل NetReactor)
  • سلوكيات مراوغة تتجاوز قدرات مضادات الفيروسات التقليدية وحلول الكشف والاستجابة

تكتيكات جديدة تعتمد على تسلسل بسيط ومموّه لملفات نصية خفيفة الوزن

بحسب التقرير، يتجه المهاجمون بشكل متزايد إلى استخدام سلاسل من السكربتات المشفرة، والمترابطة، لتفادي الكشف. وتبدأ هذه الهجمات غالباً بملفات غير شائعة مثل اختصارات LNK أو مستندات تصيّد تقليدية، ثم تتوالى مراحل التنفيذ عبر ملفات Batch أو PowerShell أو VBS أو JavaScript، كل منها يخفي المرحلة التالية، بطريقة يصعب اكتشافها.

ويصف التقرير هذه السلاسل النصية بأنها “بسيطة من حيث البناء، لكنها معقدة من حيث الرصد”، مشيراً إلى أن الهجمات تتم بسرعة ولا تترك آثار واضحة. وقد رُصدت أمثلة بارزة لهذه الهجمات في حملات تجسس تستهدف أوروبا الشرقية.

كما أشار التقرير إلى ارتفاع ملحوظ في استخدام تقنية ClickFix من قِبل كل من المجموعات الإجرامية والجهات المدعومة من دول.

الهجمات الدقيقة تحلّ محل الهجمات الواسعة

رصد خبراء OPSWAT تحولاً في الأشهر الأخيرة نحو اعتماد الهجمات الدقيقة عوضاً عن الهجمات الكثيفة، حيث يُفضل المهاجمون التسلل والخداع على نشر البرمجيات الخبيثة على نطاق واسع.

وتشمل أبرز الأساليب المستخدمة:

  • إرسال ملفات مشوّهة عمداً، مثل مستندات Office التالفة لتجاوز أدوات التحليل
  • استخدام ترميزات خادعة (مثل BOM بتنسيق UTF-16) داخل سكربتات Batch لتعطيل الكشف
  • الاعتماد على تنسيقات حمولة غير تقليدية مثل JavaScript أو Python المُجمّع، ما يجعلها بعيدة عن أنماط البرمجيات الخبيثة المعروفة

وذكر التقرير أن العديد من الحملات باتت تتضمن منطق جغرافي دقيق لتحديد المناطق المستهدفة، بحيث لا تُفعل الحمولات إلا ضمن نطاق جغرافي معين، مما يصعّب عملية الرصد عبر أدوات التحليل الآلي.

كما يفضل المهاجمون استخدام حمولات مخفية داخل صور بصيغة .NET Bitmap أو صور تحتوي على بيانات مستترة (Steganography)، إضافة إلى استخدام خدمات غوغل كقنوات سرّية للاتصال والتحكم (C2).

يستند تقرير OPSWAT إلى أكثر من 890 ألف عملية تحليل في بيئات العزل الرقمية (Sandboxes)، تم تنفيذها خلال عام باستخدام منصة Filescao.io.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
Go to Top