اكتشف فريق الأبحاث والتحليل العالمي (GReAT) في كاسبرسكي برمجية GodRAT الخبيثة، وهي من أنواع حصان طروادة تستخدم للوصول عن بعد، وتنتشر عبر ملفات شاشة التوقف خبيثة تتخفى على هيئة مستندات مالية، وكانت ترسل إلى الضحايا عبر تطبيق سكايب حتى شهر مارس 2025، قبل أن تنتقل لاحقاً إلى قنوات أخرى. واستهدفت هذه البرمجية خلال الهجمات شركاتٍ صغيرة ومتوسطة في دول عديدة منها: دولة الإمارات العربية المتحدة، وهونج كونج، والأردن، ولبنان.

نشرت الجهة المهاجمة برمجية حصان طروادة جديدة للوصول والتحكم عن بعد اسمها GodRAT، وقد عثر على هذه البرمجية في الشيفرة المصدرية لأحد العملاء باستخدام أداة فحص، وذلك بعد رفع ملف البرمجية الخبيثة إليها في شهر يوليو عام 2024. ويتضمن الأرشيف المسمى (GodRAT V3.5_______dll.rar) أداة لتوليد برمجية GodRAT الخبيثة، فهي تستطيع توليد ملفات خبيثة بصيغة تنفيذية (EXE) وبصيغة ملفات (DLL). وتتيح هذه الأداة للمهاجمين خداع الضحايا وإخفاء الملفات الخبيثة باستخدام أسماء عمليات وبرامج مألوفة (مثل svchost.exe وcmd.exe وwscript.exe) لحقن كود البرمجية، ثم حفظ الملفات بتنسيقات مختلفة منها: .exe, .com, .bat, .scr, and .pif

استعان المهاجمون بتقنية إخفاء المعلومات (Steganography) تفادياً للاكتشاف، فأدخلوا الشيل كود الخبيث ضمن ملفات صور تستعرض بيانات مالية مختلفة. ويتولى الشيل كود تحميل برمجية GodRAT الخبيثة من خادم القيادة والتحكم (C2). وبعد ذلك تنشئ برمجية حصان طروادة للوصول عن بعد (RAT) اتصالاً ببروتوكول TCP مع خادم C2، وتستخدم لهذه الغاية المنفذ المحدد ضمن إعداداتها الداخلية. وتجمع البرمجية معلومات كثيرة منها: تفاصيل نظام التشغيل، واسم المضيف المحلي، واسم عملية البرمجية الخبيثة ومعرّفها، وحساب المستخدم المرتبط بهذه العملية، وتكتشف برامج مكافحة الفيروسات المُثبتة في الجهاز، وتتحقق من وجود برنامج لالتقاط المعلومات.

علاوة على ما سبق، تتيح برمجية GodRAT الخبيثة تشغيل إضافات أخرى؛ فبعد تثبيت هذه البرمجية في الجهاز، استعان المهاجمون بإضافة FileManager لاستكشاف أنظمة الضحية، وأطلقوا برنامجاً لسرقة كلمات المرور استهدف متصفحي كروم ومايكروسوفت إيدج لسرقة بيانات تسجيل الدخول. ولم يكتفِ المهاجمون باستخدام GodRAT، وإنما استعانوا كذلك ببرمجية AsyncRAT كأداة إضافية للوصول إلى النظام لمدة أطول.

يعلق على هذه المسألة «سوراب شارما»، وهو باحث أمني في فريق GReAT لدى كاسبرسكي: «تبدو GodRAT نسخة مطورة من برمجية AwesomePuppet، التي رصدتها كاسبرسكي لأول مرة عام 2023، ويرجح أنها مرتبطة بمجموعة Winnti APT الإجرامية. وتدل أساليب الانتشار، والمعلمات النادرة لسطر الأوامر، وتشابه كود البرمجية مع Gh0st RAT، و الملفات المشتركة مثل البصمة التعريفية الرقمية، على الأصل المشترك لهذه البرمجيات.  فعلى الرغم من مرور ما يقارب عقدين من الزمن، لا تزال جهات التهديد تستخدم قواعد بيانات الشيفرة القديمة لبرمجيات الزرع مثل Gh0st، فتواصل غالباً على تعديلها وتطويرها لاستهداف شريحة واسعة من الضحايا. وما اكتشاف برمجية GodRAT إلّا برهان على أنّ هذه الأدوات المعروفة منذ سنين طويلة تظل صالحة للاستخدام ومؤثرة في المشهد الراهن للأمن السيبراني».

يرجى زيارة الموقع التالي للاطلاع على التقرير كاملاً: Securelist.com.

للحفاظ على سلامتك، توصي كاسبيرسكي بما يلي: