تم اكتشاف محمّل برامج خبيثة جديد ومتطور، أُطلق عليه اسم "DeepLoad"، باعتباره المكون الأساسي لحملة تجسّب إلكتروني مستمرة تُسمى "ClickFix". كشف باحثو الأمن السيبراني عن هذا التهديد، المصمم خصيصًا لنشر حمولات إضافية على الأنظمة المخترقة بدرجة عالية من التخفي. تستخدم حملة ClickFix تكتيكات هندسة اجتماعية ذكية، حيث تبدأ غالبًا عبر رسائل البريد الإلكتروني التصيدية التي تحتوي على روابط أو مرفقات ضارة. بمجرد تفاعل المستخدم مع الطعم، يتم تنزيل وتنفيذ برنامج DeepLoad الخبيث بصمت، مما يؤسس موطئ قدم للمهاجمين لسرقة البيانات الحساسة، أو نشر برامج الفدية، أو الحصول على وصول مستمر طويل الأمد للشبكات المؤسسية. يؤكد هذا الاكتشاف التطور المستمر لأدوات الوصول الأولي التي يستخدمها الجهات الفاعلة المهددة لتجاوز دفاعات الأمن التقليدية.
يكشف التحليل التقني لبرنامج DeepLoad عن إطار هجوم متعدد المراحل لا يعتمد على الملفات، مُصمم لتفادي الاكتشاف. يستخدم المحمّل تقنيات تعمية متقدمة ويعتمد على عمليات نظام Windows الشرعية ومحركات البرمجة النصية لتنفيذ شفرته الضارة مباشرة في الذاكرة، تاركًا آثارًا جنائية ضئيلة على القرص. بعد إنشاء التنفيذ الأولي، يتصل DeepLoad بخادم التحكم والأمر (C2) لجلب الحمولات الثانوية، والتي قد تشمل برامج سرقة المعلومات، أو أحصنة طروادة للوصول عن بُعد، أو برامج تعدين العملات المشفرة. تجعل الطبيعة المعيارية للبرنامج الخبيث واستخدامه للملفات الثنائية الشرعية (LoLBins) من الصعب بشكل خاص على حلول مكافحة الفيروسات التقليدية تحديده، لأنه يطمس الخط الفاصل بين نشاط النظام الشرعي والعمليات الضارة.
يبدو أن الأهداف الرئيسية لحملة ClickFix هي المنظمات عبر قطاعات مختلفة، مع تركيز خاص على الكيانات في مجال التكنولوجيا والتمويل والخدمات المهنية. يُظهر المهاجمون فهمًا واضحًا لبيئات التشغيل الخاصة بأهدافهم، حيث يصممون طعومًا مقنعة تحاكي تحديثات البرامج، أو إشعارات الفواتير، أو تأكيدات الشحن. يشير هذا الاستهداف الاستراتيجي إلى مشاركة مجموعة تهديد مدفوعة ماليًا أو موالية لدولة تسعى للحصول على الملكية الفكرية القيمة أو البيانات المالية. وجد أن بنية الحملة التحتية تستخدم مواقع ويب مخترقة ونطاقات مسجلة حديثًا لاستضافة المكونات الضارة، مما يزيد من تعقيد جهود الدفاع.
ردًا على هذا التهديد الناشئ، يوصي محترفو الأمن السيبراني باستراتيجية دفاع متعددة الطبقات. يجب على المؤسسات تعزيز تدريب توعية الموظفين الأمنية للتعرف على محاولات التصيد الاحتيالي المتطورة. على المستوى التقني، يعد تنفيذ قوائم السماح بالتطبيقات، ومراقبة سلوك العمليات والاتصالات الشبكية غير الطبيعية، ونشر حلول كشف الاستجابة لنقاط النهاية (EDR) القادرة على تحليل الذاكرة، خطوات حاسمة. علاوة على ذلك، يمكن أن يؤدي الحفاظ على إدارة دقيقة للتحديثات الأمنية وتقييد تنفيذ محركات البرمجة النصية مثل PowerShell و WScript للمستخدمين العاديين إلى تقليل سطح الهجوم بشكل كبير. يعد اكتشاف DeepLoad تذكيرًا قويًا بأن مشهد التهديدات يتغير باستمرار، مما يتطلب مواقف أمنية استباقية وتكيفية من المدافعين.
