برمجية فدية غوددام ظهرت بهجوم جديد يعتمد على برنامج تشغيل PoisonX لتعطيل أدوات الحماية، ما يمنح المهاجمين فرصة أسرع لتشفير الأنظمة.
ما هي برمجية فدية غوددام ولماذا تثير القلق؟
رصد باحثون أمنيون عائلة جديدة من هجمات الفدية تحمل اسم GodDamn، وتستخدم أسلوبا متقدما لتفادي الاكتشاف قبل بدء التشفير. الخطورة هنا لا تتعلق بالتشفير فقط، بل بقدرة المهاجمين على إسكات وسائل الدفاع داخل النظام أولا.
وبحسب ما تابعته تيكبامين، فإن هذه السلالة تبدو امتدادا أو إعادة تقديم لسلالات أقدم تطورت على مراحل خلال السنوات الماضية، ما يشير إلى أن الجهة المطورة تبني على أدوات مجربة وليست مجرد حملة عشوائية قصيرة.
كيف يستخدم PoisonX لتعطيل برامج الحماية؟
اللافت في الهجوم هو الاعتماد على PoisonX، وهو برنامج تشغيل على مستوى النواة Kernel Driver. هذا النوع من الأدوات يمنح المهاجم صلاحيات عميقة داخل ويندوز، ما يسمح له بالتلاعب بآليات الحماية من الداخل.
ويأتي ذلك ضمن أسلوب معروف باسم BYOVD أو "إحضار برنامج تشغيل ضعيف أو موثوق لاستخدامه في الهجوم". الفكرة ببساطة أن المهاجم يستفيد من برنامج تشغيل موقّع ليبدو شرعيا أمام النظام، ثم يستخدمه لإيقاف حلول AV وEDR أو إضعافها.
- تعطيل عمليات مضادات الفيروسات قبل التشفير
- حرمان أدوات EDR من الصلاحيات اللازمة للمراقبة
- التلاعب بإشعارات النواة حتى تصبح برامج الحماية شبه عمياء
- تقليل فرص اكتشاف الهجوم في مراحله الأولى
لماذا يعد هذا الأسلوب خطيرا؟
لأن ويندوز يحمّل برامج التشغيل الموقعة تلقائيا في كثير من الحالات، ما يمنح المهاجم غطاء تقنيا مقنعا. وهنا لا يحتاج المهاجم إلى كسر الحماية مباشرة إذا كان قادرا على استخدام أداة موثوقة ظاهريا ضد النظام نفسه.
كيف نُفذ الهجوم الأخير على الأنظمة؟
في إحدى الهجمات المرصودة خلال يونيو 2026، استخدم المهاجمون أداة AnyDesk للوصول عن بعد، ثم استعانوا بحزمة لسرقة بيانات الاعتماد قبل نشر برمجية الفدية. وحتى الآن، ما يزال مسار الدخول الأولي غير محسوم بشكل نهائي.
كما جرى استخدام أداة تعمل في وضع المستخدم تحت اسم مضلل يشبه منتجات Symantec، إضافة إلى ملف التشغيل g11.sys المرتبط بـ PoisonX. هذا الدمج بين الوصول البعيد وسرقة الحسابات وتعطيل الدفاعات يعكس سلسلة هجوم منظمة لا خطوة منفردة.
- الوصول عن بعد: AnyDesk
- جمع كلمات المرور: أدوات مبنية على NirSoft
- تعطيل الحماية: symantec.exe و g11.sys
- الهدف النهائي: تمهيد البيئة لتشغيل المشفر
ما البيانات التي حاول المهاجمون سرقتها؟
أدوات سرقة الاعتماد المستخدمة في الحملة لم تكتف ببيانات المتصفح فقط، بل استهدفت مجموعة واسعة من المعلومات الحساسة داخل أجهزة ويندوز. وهذا يعني أن الضرر قد يبدأ كتسريب بيانات قبل أن يتحول إلى تشفير وابتزاز.
- بيانات المتصفحات الشائعة وكلمات المرور المحفوظة
- Windows Credential Manager
- بيانات الدومين المخزنة مؤقتا
- جلسات VNC وبرامج البريد الإلكتروني
- ملفات تعريف Wi‑Fi
- حركة الشبكة الحية داخل الجهاز
كيف يمكن للشركات تقليل خطر برمجية فدية غوددام؟
الدفاع ضد هذا النوع من الهجمات يتطلب التركيز على الامتيازات الإدارية ومراقبة برامج التشغيل غير المعتادة، وليس فقط انتظار ملف الفدية نفسه. كما أن تقييد أدوات الوصول عن بعد غير الضرورية ومراجعة سجلات التعريفات أصبح أمرا أساسيا.
وتشير المتابعة في تيكبامين إلى أن برمجية فدية غوددام تمثل مثالا واضحا على تطور هجمات الفدية نحو تعطيل الحماية أولا ثم تنفيذ التشفير لاحقا، لذلك يبقى التحديث المستمر والمراقبة متعددة الطبقات خط الدفاع الأهم حاليا.