26
كشف باحثو الأمن السيبراني عن برمجية خبيثة متقدمة تُعرف باسم GhostWeaver، تستخدم تقنيات تعقيد التحليل وإخفاء النشاط، وتقوم بتنزيل حمولات خبيثة لاحقة عبر سكربت PowerShell متصل بنطاقات DGA.
آلية عمل GhostWeaver
التقنيات المستخدمة
- استخدام خوارزميات DGA لإنشاء نطاقات مخصصة أسبوعيًا
- تنزيل الحمولات عبر
PowerShellمن خوادم غير معروفة - إخفاء الاتصالات عبر شهادة TLS ذاتية التوقيع ومضمنة داخل السكربت
- تشغيل إضافات (Plugins) لجمع بيانات المتصفح والتلاعب بالمحتوى
خصائص الاتصالات
- تواصل مستمر مع خادم التحكم (C2)
- تشغيل الإضافة MintsLoader لزيادة الحمولات
- استخدام TLS باتصال مشفر عبر شهادة X.509 مدمجة
- مصادقة من جهة العميل باستخدام الشهادة نفسها
حملة CLEARFAKE المرتبطة
أفادت شركة Kroll أن برمجية GhostWeaver تُستخدم ضمن حملة أوسع تُعرف باسم CLEARFAKE، والتي تسعى للوصول الأولي لأجهزة الضحايا عبر استغلال أداة ClickFix.
- خداع المستخدمين لتنفيذ أوامر
MSHTA - نشر برمجية سرقة البيانات المعروفة باسم Lumma Stealer
- استغلال عناصر الويب المزيفة لجذب المستخدمين
تعليق الجهات الأمنية
“برمجية GhostWeaver لا تقتصر على سرقة البيانات، بل توفر بنية خلفية متكاملة لدعم السيطرة الكاملة على الأنظمة المستهدفة.”
– تقرير TRAC Labs، فبراير 2025
