لقد كانت البرامج الضارة بمثابة لعبة القط والفأر بين المتسللين والباحثين الأمنيين منذ ظهور فيروسات الكمبيوتر الأولى. اليوم، أصبحت معظم البرامج الضارة معروفة، على الأقل من حيث النوع وطريقة التسليم. ومع ذلك، يبتكر الأشرار أحيانًا حيلًا جديدة لإخفاء آثارهم.

اكتشفت شركة التحليلات الأمنية Mandiant مؤخرًا سلسلة هجمات "لم يسبق لها مثيل" تستخدم تشفير Base64 على موقعين مختلفين على الأقل لتوصيل حمولة المرحلة الثانية من برنامج ضار ثلاثي المراحل. الموقعان هما موقع التكنولوجيا ArsTechnica وموقع استضافة الفيديو Vimeo.

نشر أحد المستخدمين صورة للبيتزا على منتدى ArsTechnica مع تسمية توضيحية تقول "أنا أحب البيتزا". لا حرج في الصور أو النص نفسه. ومع ذلك، تتم استضافة هذه الصورة بواسطة موقع ويب تابع لجهة خارجية ويحتوي عنوان URL الخاص بها على سلسلة Base64. يبدو Base64 الذي تم تحويله إلى ASCII كأحرف عشوائية، ولكنه في هذه الحالة يحجب التعليمات الثنائية لتنزيل المرحلة الثانية من حزمة البرامج الضارة وتثبيتها. وفي حالة أخرى، ظهرت سلسلة مماثلة في وصف مقطع فيديو غير ضار على Vimeo.

وقال متحدث باسم ArsTechnica إن ArsTechnica حذفت الحساب، الذي تم إنشاؤه في نوفمبر الماضي، بعد أن أبلغ مستخدم مجهول عن الرابط الغريب للصورة (أدناه) إلى الموقع.

وقالت شركة Mandiant إنها حددت الكود على أنه ينتمي إلى جهة تهديد تعرف باسم UNC4990، والتي تتبعها منذ عام 2020. وبالنسبة لمعظم المستخدمين، لن يكون لهذه التعليمات أي تأثير. يمكن تشغيله فقط على الأجهزة التي تحتوي بالفعل على برامج المرحلة الأولى الضارة (explorer.ps1). تتم المرحلة الأولى من انتشار UNC4990 عبر محركات الأقراص المحمولة المصابة التي تم تكوينها للارتباط بالملفات المستضافة على GitHub وGitLab.

المرحلة الثانية تسمى "المساحة الفارغة" وهي عبارة عن ملف نصي يظهر فارغًا في المتصفحات ومحررات النصوص. ومع ذلك، افتحه باستخدام محرر سداسي عشري وسترى ملفًا ثنائيًا يستخدم أنظمة تشفير ذكية مثل المسافات وعلامات التبويب والأسطر الجديدة لإنشاء كود ثنائي قابل للتنفيذ. يعترف مانديانت بأنه لم ير هذه التكنولوجيا من قبل.

وقال ياش جوبتا، الباحث في شركة Mandiant: "إن هذه طريقة مختلفة ومبتكرة من سوء الاستخدام التي نشهدها، ومن الصعب اكتشافها. وهو شيء لا نراه عادة في البرامج الضارة. وهذا أمر مثير للاهتمام للغاية بالنسبة لنا ونريد الإشارة إليه."

بعد التنفيذ، سوف يقوم Emptyspace باستقصاء خادم الأوامر والتحكم بشكل مستمر وتنزيل باب خلفي يسمى "Quietboard" وفقًا للأمر. يستغل UNC4990 هذا الباب الخلفي لتثبيت عمال مناجم العملة المشفرة على الأجهزة المصابة. ومع ذلك، قالت Mandiant إنها تتبعت حالة واحدة فقط من تثبيت Quietboard.

نظرًا لندرة Quietboard، فإن التهديد الذي تشكله هجمات UNC4990 ضئيل للغاية. ومع ذلك، قد يكون لدى Explorer.ps1 وEmptyspace معدلات إصابة أعلى، مما يجعل المستخدمين عرضة للخطر. يشرح Mandiant كيفية اكتشاف الإصابة في مدونته.