كشفت أحدث التقارير الأمنية عن تطور مقلق في برمجية GootLoader الخبيثة، حيث بدأت تعتمد تقنية معقدة لدمج مئات ملفات ZIP معاً بهدف تجاوز أنظمة الحماية التقليدية وبرامج مكافحة الفيروسات.
كيف تعمل تقنية GootLoader الجديدة؟
تعتمد الآلية الجديدة على إنشاء أرشيف ZIP "معطوب" عمداً، يتكون من سلسلة طويلة من الأرشيفات المتصلة التي قد يتراوح عددها بين 500 إلى 1000 أرشيف.
وفقاً للتحليلات التقنية التي تابعها فريق تيكبامين، فإن هذا التكتيك يهدف إلى إرباك أدوات فك الضغط الشهيرة:
- تفشل أدوات مثل WinRAR و 7-Zip في استخراج الملفات بسبب الهيكلة غير الطبيعية.
- في المقابل، تنجح أداة فك الضغط الافتراضية في نظام Windows في فتح الملف دون مشاكل.
- يضمن هذا للمهاجمين وصول البرمجية الخبيثة للضحية الذي يستخدم أدوات النظام الافتراضية.
استغلال ووردبريس وتقنيات التمويه
تستمر حملات GootLoader في استخدام تقنيات تحسين محركات البحث (SEO Poisoning) لجذب الضحايا الذين يبحثون عن نماذج قانونية أو مستندات عمل، وتوجيههم إلى مواقع ووردبريس مخترقة.
وقد رصد الخبراء حيلاً جديدة ظهرت في أواخر عام 2025 لزيادة تعقيد الهجوم:
- استخدام خطوط WOFF2 مخصصة مع استبدال الرموز لإخفاء أسماء الملفات الحقيقية.
- استغلال نقاط الضعف في تعليقات ووردبريس لتسليم ملفات ZIP الخبيثة.
- تحميل البرمجية عند ضغط المستخدم على زر "تحميل" وهمي في الموقع المخترق.
ما هي تقنية "Hashbusting" المستخدمة؟
أوضح الباحثون أن المهاجمين يستخدمون تقنية تعرف باسم "Hashbusting" لتوليد نسخة فريدة تماماً من الملف لكل ضحية.
تتميز هذه التقنية بالخصائص التالية:
- يتم إضافة ملفات عشوائية وقيم متغيرة داخل كل أرشيف ZIP.
- يحصل كل مستخدم على ملف يحمل بصمة رقمية (Hash) مختلفة كلياً.
- تصبح محاولة تتبع الملف بناءً على بصمته الرقمية بلا جدوى لأنها تتغير باستمرار.
كيفية الحماية من هذا التهديد
يعتمد الهجوم بشكل أساسي على الهندسة الاجتماعية وخداع المستخدم لفتح الملف يدوياً. لذا، ينصح دائماً بتفعيل خيارات إظهار امتدادات الملفات في Windows، والحذر الشديد عند تحميل ملفات العمل من نتائج بحث غير موثوقة، خاصة تلك التي تطلب فك الضغط بطرق غير معتادة.
