برمجية DRILLAPP الخبيثة تستهدف أوكرانيا عبر متصفح إيدج

كشف خبراء الأمن الرقمي عن برمجية DRILLAPP التي تستهدف أوكرانيا، حيث تستغل ثغرات متصفح مايكروسوفت إيدج للتجسس وسرقة البيانات الحساسة بصمت.

ما هي برمجية DRILLAPP الخبيثة وكيف تعمل؟

ظهرت حملة اختراق جديدة تستهدف الكيانات في أوكرانيا، ويُعتقد أنها مدعومة من جهات تهديد مرتبطة بروسيا. وقد تم رصد هذه الهجمات المتطورة مؤخراً، حيث تتشابه مع حملات سابقة استهدفت قطاعات الدفاع.

وحسب متابعة فريق تيكبامين لتطورات الأمن الرقمي، فإن هذه المجموعة تُعرف بعدة أسماء مثل Laundry Bear أو Void Blizzard. وتستخدم هذه الجهات أساليب خداع تعتمد على مواضيع قانونية وخيرية للإيقاع بالضحايا.

أبرز طرق الاختراق والتخفي

تعتمد الهجمات على نشر باب خلفي (Backdoor) مبرمج بلغة جافا سكريبت. ويعمل هذا الفيروس بتخفٍ تام داخل الأنظمة المصابة لتسهيل الاختراق.

• استخدام ملفات اختصار الويندوز (LNK) لإنشاء تطبيقات ويب (HTA) في المجلد المؤقت.
• نسخ الملفات الخبيثة إلى مجلد بدء التشغيل (Startup) لضمان الاستمرارية بعد إعادة تشغيل الجهاز.
• عرض روابط وهمية تتعلق بتثبيت خدمات Starlink أو التبرع للجمعيات الخيرية الأوكرانية.
• تحميل نصوص برمجية مشفرة عن بُعد عبر خدمة Pastefy الشرعية لتجنب الكشف.

كيف يتم استغلال متصفح مايكروسوفت إيدج؟

بمجرد اختراق الجهاز، يتم تشغيل الملف الخبيث عبر متصفح مايكروسوفت إيدج في الوضع المخفي (Headless mode). يتيح هذا الوضع للمهاجمين تنفيذ الأوامر دون ظهور أي واجهة مستخدم مرئية للضحية.

ولتجاوز أنظمة الحماية، يتم تشغيل المتصفح مع إعدادات برمجية محددة تمنحه صلاحيات واسعة وخطيرة للغاية داخل النظام المصاب.

الصلاحيات التي يحصل عليها المخترقون

• الوصول الكامل إلى نظام الملفات المحلي الخاص بالضحية.
• تفعيل الكاميرا والميكروفون دون طلب إذن أو تفاعل من المستخدم.
• التقاط صور لشاشة الجهاز وتسجيل الأنشطة بصمت.
• تعطيل ميزات الأمان الخاصة بالويب وإلغاء وضع الحماية المدمج (Sandbox).

ما هي خطورة هجمات DRILLAPP السيبرانية؟

تعمل هذه البرمجية كأداة تجسس خفيفة وفعالة، وتسهل الوصول المباشر إلى ملفات الضحايا. وتقوم أيضاً بإنشاء بصمة فريدة للجهاز المخترق عند تشغيلها للمرة الأولى باستخدام تقنية تُعرف باسم Canvas Fingerprinting.

وكما يوضح تقرير تيكبامين، فإن الفيروس يتصل بخوادم القيادة والتحكم (C2) لإرسال البيانات المسروقة. وتتضمن هذه البيانات معلومات حساسة ودقيقة تستخدم لأغراض التجسس المتقدم.

• بصمة الجهاز والبيانات التعريفية الشاملة للعتاد.
• تحديد الموقع الجغرافي والدولة بناءً على المنطقة الزمنية لنظام التشغيل.
• الاستهداف المباشر للدول المرتبطة بالنزاع مثل أوكرانيا، روسيا، بريطانيا، والولايات المتحدة.
• مراقبة الضحايا بالصوت والصورة في الوقت الفعلي لجمع المعلومات الاستخباراتية.

في النهاية، تؤكد هذه الهجمات المتطورة على ضرورة تحديث أنظمة الحماية وتجنب فتح الروابط أو الملفات المشبوهة، خاصة تلك التي تستغل أسماء مؤسسات خيرية أو خدمات تقنية معروفة لخداع المستخدمين وسرقة بياناتهم.