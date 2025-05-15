تم سابقًا الإبلاغ عن تقنية مماثلة من قبل مجموعة NCC.

في نوفمبر 2022، أبلغ LAC عن متغيّر Claimloader من المحتمل أن يستهدف المؤسسات الحكومية في الفلبين في سلسلة عدوى مطابقة تقريبًا للنشاط في 2023-2024 المفصل في الأقسام السابقة. يقوم هذا النوع من المتغيّرات بتخزين حمولته على شكل كتل من سلاسل المكدس المشفرة بحجم 32 بايت، قبل فك تشفير كل منها. كما يقوم بنسخ الملف التنفيذي الشرعي وملف Claimloader DLL إلى دليل جديد قبل محاولة إنشاء استمرارية عبر السجل أو المهام المجدولة، ما يجعله في الواقع برنامج تثبيت بالإضافة إلى كونه برنامج تحميل.

عند التنفيذ، يبدأ البرنامج الضار بإنشاء mutex مشفر لضمان تشغيل نسخة واحدة فقط من Claimloader. بعد ذلك، يتحقق من وجود وسيط سطر أوامر محدد، وهو غير موجود في التشغيل الأول. إذا كان الأمر كذلك، فسيقوم برنامج Claimloader بنسخ كل من ملف EXE وملف DLL إلى دليل جديد غير مزعج، غالبًا ما يكون تحت "C:\ProgramData\"، محاكيًا دليل برنامج مثل:

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

يُستخدم هذا السلوك من قبل معظم عينات Claimloader الأحدث ويمكن أن يؤدي أيضًا إلى عمليات تنفيذ غير ناجحة في بيئة الاختبار المعزولة.

بعد ذلك، يقوم البرنامج الضار بتأسيس استمرارية عند تسجيل الدخول عن طريق تخزين مسار ملف EXE مع وسيطة سطر الأوامر الصحيحة في مفتاح تسجيل جديد مرة أخرى باسم برنامج غير ملحوظ في:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run