عملية تعدين خبيثة تستغل ملفات ISO لنشر RATs

تحذر التقارير من عملية تعدين خبيثة تستخدم ملفات ISO مزيفة لنشر برمجيات تحكم عن بعد منذ أواخر 2023. الضحايا يُستدرجون عبر مثبتات برامج مجانية.

ما تفاصيل عملية تعدين خبيثة تستغل ملفات ISO؟

الحملة المعروفة باسم REF1695 تعمل بدافع مالي منذ نوفمبر 2023، وتعتمد على مثبتات مزيفة تُظهر نفسها كبرامج شرعية لتثبيت RATs ومعدّنات عملات رقمية. وفقاً لمتابعة تيكبامين، يستهدف المهاجمون المستخدمين الباحثين عن أدوات مدفوعة مجاناً.

بجانب التعدين، تتم الاستفادة من الإصابات عبر تحويل الضحايا إلى صفحات تسجيل وهمية تعتمد نموذج الدفع مقابل الإجراء CPA. هذه الصفحات تعمل كـ content locker وتطلب إدخال بيانات أو تنزيلات إضافية.

• تشغيل معدّنات عملات رقمية في الخلفية.
• توجيه المستخدمين إلى صفحات تسجيل مزيفة.
• جمع بيانات أو تثبيت برامج إضافية مقابل الوصول.

كيف تم تجاوز حماية ويندوز عبر SmartScreen؟

الإصدارات الحديثة تضيف برمجية .NET جديدة باسم CNB Bot داخل ملف ISO، مع ملف نصي يطلب الضغط على «More info» ثم «Run anyway» لتجاوز SmartScreen. بهذه الخطوة يتم تشغيل لودر محمي بـ .NET Reactor دون تنبيه واضح.

سلسلة الإصابة خطوة بخطوة

• تنزيل ملف ISO مزيف يبدو كبرنامج موثوق.
• تشغيل لودر محمي بأدوات إخفاء .NET.
• استدعاء PowerShell لإعداد البيئة.
• إضافة استثناءات واسعة في Microsoft Defender.
• تشغيل CNB Bot في الخلفية دون واجهة.

بعد التنفيذ تظهر للمستخدم رسالة خطأ تزعم أن الجهاز لا يلبي المواصفات، بينما يتم تشغيل الحمولة في الخلفية. هذا التمويه يقلل الشكوك ويمنح المهاجم وقتاً لتثبيت المكونات.

ما قدرات CNB Bot وRATs المصاحبة؟

CNB Bot يعمل كلودر يتحكم في تنزيل وتشغيل حمولات إضافية، ويمكنه التحديث أو الإزالة مع تنظيف الآثار. الاتصالات تتم عبر طلبات HTTP POST إلى خادم C2 لتلقي الأوامر.

• تنزيل وتنفيذ حمولة إضافية عند الطلب.
• تحديث ذاتي وتبديل الإصدارات بسرعة.
• إلغاء التثبيت وإخفاء الآثار بعد المهام.

حملات أخرى للمجموعة استغلت نفس خدعة الـ ISO لتوزيع PureRAT وPureMiner، إضافة إلى لودر XMRig مخصص يستخرج إعدادات التعدين من رابط ثابت. هذا التنوع يشير إلى بنية تشغيلية مرنة تستبدل الأدوات عند الحاجة.

لماذا يُستغل برنامج تشغيل WinRing0؟

أحد أخطر العناصر هو استغلال برنامج التشغيل WinRing0x64.sys الموقع والضعيف لمنح وصول على مستوى النواة وتعديل إعدادات المعالج لرفع معدل الهاش. هذا الأسلوب شائع في حملات التعدين الخفي منذ دمجه في XMRig عام 2019.

أساليب التخفي والاستمرارية

• استخدام استدعاءات نظام مباشرة لتفادي المراقبة.
• تعطيل أوضاع Sleep وHibernate لمنع توقف التعدين.
• إنشاء مهمة مجدولة لضمان التشغيل التلقائي.
• تشغيل عملية مراقبة تعيد الملفات عند الحذف.
• ضبط ترددات CPU عبر برنامج التشغيل Winring0.sys.

تم رصد حملة إضافية تنشر SilentCryptoMiner وتستفيد من نفس السائق لضبط الأداء، مع تقدير العوائد بنحو 27.88 XMR أي قرابة 9.3 آلاف دولار. وجود مراقب watchdog يجعل إزالة العدوى أكثر صعوبة.

للتقليل من مخاطر عملية تعدين خبيثة، ينصح تيكبامين بتجنب ملفات ISO مجهولة المصدر وتحديث Windows Defender باستمرار. كما يُفضل عدم تشغيل البرامج غير الموثوقة حتى عند ظهور رسائل تشجيعية.