النهار
السبت 11 يوليو 2026 06:14 صـ 25 محرّم 1448 هـ
جريدة النهار المصرية رئيس مجلس الإدارة ورئيس التحريرأسامة شرشر
النيابة العامة بسوهاج تقرر عرض المتهمين في قضية التلاعب بالمتغيرات المكانية صباح باكر وتطلب تحريات مباحث الأموال العامة القبض على رئيس مجلس قروي بجرجا و9 مسؤولين بالمحليات في قضية التلاعب بالمتغيرات المكانية والتستر على مخالفات البناء ”الإبداع في عالم متغير” ندوة للكاتبة سلوى بكر على هامش معرض مكتبة الإسكندرية للكتاب محمد صلاح يقضي عطلته الصيفية في العلمين بعد الإنجاز التاريخي مع منتخب مصر رئيس البرلمان العربي يرحب ببدء واشنطن إجراءات رفع سوريا من قائمة الدول الراعية للإرهاب ..ويدعو المجتمع الدولي إلى مواصلة اتخاذ الخطوات التي... شيخ الطريقة الجازولية: تكريم الرئيس السيسى للمنتخب المصرى هى رسالة تقدير للمنظومة الرياضية بالكامل احياء الإسكندرية تنفذ حملات مكثفة للتصدي لمظاهر العشوائية محافظة الإسكندرية بالتعاون لجنة المواصلات بمجلس النواب تدشن خط نقل عام جديد: لمنطقة ”بشاير الخير” نادي سانتوس يحدد موقف نيمار بعد وداع كأس العالم 2026 تحركات مصرية مكثفة في رام الله لتثبيت التهدئة وتمكين السلطة الفلسطينية بغزة مصر ترفض رسو سفينة سياحية لـ”مجتمع الميم” في الإسكندرية المجلس العربي للمسؤولية المجتمعية والتنمية المستدامة يكرّم الدكتورة كورين شنودة بجائزة المرأة العربية للمسؤولية المجتمعية 2026

تكنولوجيا وانترنت

كاسبرسكي وBI.ZONE ترصدان نشاطاً جديداً لبرمجية PipeMagic الخبيثة في أمريكا اللاتينية ومنطقة الخليج


استطاع فريق الأبحاث والتحليل العالمي (GReAT) في كاسبرسكي، بالتعاون مع خبراء أبحاث الثغرات الأمنية في شركة BI.ZONE، أن يرصد نشاطاً جديداً لبرمجية بايب ماجيك (PipeMagic) الخبيثةـ التي اكتشفت لأول مرة عام 2022 ثم عاودت الظهور في عام 2025. فقد توسعت هجمات البرمجية إلى مناطق متعددة؛ إذ رُصدت في البداية في آسيا، ثم اكتشفت لاحقاً في المملكة العربية السعودية في أواخر عام 2024. وتشير الهجمات الأخيرة إلى اهتمام متزايد باستهداف المؤسسات السعودية، فضلاً عن التوسع إلى مناطق جديدة أبرزها شركات التصنيع في البرازيل.
قام الباحثون على متابعة هذه البرمجية الخبيثة ومسار تطورها، وحددوا أبرز التغييرات في أساليب مشغليها، وأجروا تحليلاً تقنياً لثغرة مايكروسوفت المعروفة بالاسم الرمزي: CVE-2025-29824. فمن أصل121 ثغرة رصدت في شهر أبريل عام 2025، كانت هذه الثغرةُ الوحيدةَ التي استخدمت كثيراً في الهجمات السيبرانية. وقد استُهدِفت بالتحديد بأداة مدمجة في سلسلة إصابة PipeMagic. وأتاحت هذه الثغرةُ تصعيد الصلاحيات في نظام التشغيل جرّاء خلل في برنامج تشغيل سجل ملف النظام clfs.sys.
استخدمت إحدى الهجمات الجديدة في عام 2025 ملف فهرس المساعدة من مايكروسوفت (Microsoft Help Index File)، الذي يستخدم لغرضين هما: فك تشفير وتنفيذ تعليمات الشيل كود. فالشيل كود يشفر باستخدام خوارزمية RC4 (تشفير التدفق) بالترميز السداسي العشري. وبعد فك التشفير يشغل الكود عبر دالة EnumDisplayMonitors WinAPI، مما يتيح الوصول إلى عناوين واجهات برمجة التطبيقات الخاصة بالنظام عبر حقن العمليات.
بالإضافة إلى ذلك اكتشف الباحثون إصداراً جديداً مطوراً من أداة تحميل برمجية PipeMagic الخبيثة، التي كانت على هيئة تطبيق شات جي بي تي. ويشبه هذا التطبيق نظيره المستخدم سابقاً في هجمات عام 2024 على المؤسسات السعودية؛ إذ يتشاركان إطاري العمل ذاته Tokio وTauri، ويستخدمان نفس إصدار مكتبة libaes، ويتشابهان في بنية الملفات والسلوك.
يعلق على هذه المسألة «ليونيد بيزفيرشينكو»، وهو باحث أمني رئيسي في فريق GReAT لدى كاسبرسكي: «يؤكد هذا الظهور الجديد لبرمجية PipeMagic الخبيثة أنها لا تزال نشطة ومستمرة في التطور. فنسخ هذه البرمجية عام 2024 تضمنت تحسينات لتعزيز قدرتها على الاستمرار في أنظمة الضحايا، وتسهيل التنقل ضمن الشبكات المستهدفة».
كذلك يقول «بافيل بلينيكوف»، رئيس أبحاث الثغرات الأمنية في شركة BI.ZONE: «تزايد استهداف المجرمين السيبرانيين لملف clfs.sys خلال السنين الأخيرة، لا سيما المجرمين الساعين وراء مكاسب مالية. ويستغل المهاجمون ثغرات "اليوم الصفري" في هذا البرنامج التشغيلي وغيرها للحصول على صلاحيات أعلى وإخفاء الأنشطة اللاحقة للاختراق. لهذا نوصي للوقاية من هذه التهديدات باستخدام أدوات اكتشاف تهديدات النقاط الطرفية والاستجابة لها (EDR)، التي تكتشف السلوكيات المشبوهة قبل استغلال الثغرات الأمنية وبعدها».
تعرف PipeMagic بأنها برمجية باب خلفي خبيثة اكتشفتها كاسبرسكي لأول مرة عام 2022، وذلك خلال تحقيقها في حملة خبيثة مرتبطة ببرمجية الفدية RansomExx. وكان من ضحايا هذه الهجمات شركات صناعية في جنوب شرق آسيا. وقد استغل المهاجمون ثغرة CVE-2017-0144 للوصول إلى البنية التحتية الداخلية. ويقدم الباب الخلفي وضعين للتشغيل؛ إما كأداة متكاملة للوصول عن بعد وإما كوكيل شبكة، مما يتيح تنفيذ مجموعة واسعة من الأوامر. وفي أكتوبر عام 2024، اكتشفت نسخة جديدة من برمجية PipeMagic ضمن هجمات استهدفت مؤسسات في المملكة العربية السعودية، واستخدمت تطبيقاً زائفاً شبيهاً بتطبيق شات جي بي تي لخداع الضحايا والإيقاع بهم.