ظهرت برمجية خبيثة جديدة وخطيرة في ساحة التهديدات السيبرانية، وهي مصممة للبقاء مخفية، والاستمرار في العمل، والتحكم الكامل في أي نظام تصيبه. تُعرف هذه البرمجية باسم CrySome RAT، وتُشكّل تهديداً متقدماً لأنظمة ويندوز.
تُعتبر CrySome RAT برنامج وصول عن بعد (RAT) متطور تم تطويره بلغة C# ويستهدف بيئة .NET. يمنح هذا البرنامج المهاجمين سيطرة كاملة عن بعد على أجهزة ويندوز المخترقة. تتراوح قدراته من سرقة كلمات المرور وتسجيل ضغطات المفاتيح، وصولاً إلى تشغيل جلسات سطح مكتب غير مرئية.
ما يميز CrySome RAT عن غيرها من برامج الوصول عن بعد هو قدرتها الفريدة على البقاء حتى بعد إعادة ضبط المصنع للجهاز. تقوم البرمجية بنسخ نفسها إلى قسم الاسترداد في ويندوز الموجود في C:RecoveryOEM وتعديل السجل (Registry) دون اتصال بالإنترنت لتشغيلها تلقائياً بعد أي محاولة استعادة النظام.
هذا يعني أنه حتى عندما يعتقد المستخدم أن جهازه قد تم مسحه بالكامل، فإن البرمجية الخبيثة تعاود الانطلاق بهدوء. إن مستوى المثابرة في تصميم CrySome RAT نادراً ما يُرى، مما يضعها في فئة أخطر التهديدات مقارنة ببرامج الوصول عن بعد التقليدية.
CrySome RAT: تهديد متقدم بقدرات متعددة
حدد محللو شركة Cyfirma هذه البرمجية الخبيثة بعد إجراء تحليل شامل الكود المتفكك (decompiled code)، وقدموا نظرة واضحة على بنيتها الداخلية وتصميمها المعياري. لاحظ فريق البحث أن CrySome RAT تتبع بنية معيارية، حيث تقوم مرحلة التمهيد بتحميل إعدادات التكوين وتفعيل قدرات محددة بناءً على تعليمات المشغل.
كما أشار باحثو Cyfirma إلى أن البرمجية تتواصل مع خادم القيادة والتحكم (C2) عبر بروتوكول TCP، وترسل فوراً ملف تعريف مفصل للنظام المخترق عند الاتصال. يشمل هذا الملف اسم المستخدم، تفاصيل نظام التشغيل، مدة التشغيل، رمز البلد، وحتى عنوان النافذة النشطة حالياً.
القدرة على التخفي من برامج الحماية
تتضمن البرمجية أيضاً مجموعة قوية من أدوات التهرب من الدفاعات الأمنية من خلال وحدة AVKiller الخاصة بها. يقوم هذا المكون بإنهاء عمليات مكافحة الفيروسات، وتعطيل الخدمات الأمنية، وحظر محاولات تثبيت برامج الحماية، وتسميم ملف المضيفين (hosts file) لقطع اتصال خوادم تحديث مكافحة الفيروسات، ويستخدم تقنية اختطاف خيارات تنفيذ ملفات الصور (Image File Execution Options) لمنع أدوات الأمان من العمل.
تستهدف وحدة AVKiller بشكل خاص منتجات أمنية رئيسية من شركات مثل Windows Defender، Kaspersky، CrowdStrike، ESET، Avast، و SentinelOne. بعد انتهاء عمل هذه الوحدة، يصبح النظام المخترق ضعيفاً للغاية مع القليل من الحماية النشطة أو بدونها على الإطلاق.
جلسات سطح المكتب غير المرئية
يمتد تأثير التهديد بشكل أعمق من خلال وحدة الحوسبة الشبكية الافتراضية المخفية (HVNC)، والتي تسمح للمهاجمين بالتفاعل مع جهاز الضحية عبر جلسة سطح مكتب غير مرئية تماماً. هذا يعني أن المهاجم يمكنه فتح المتصفحات، والوصول إلى الملفات، والتنقل في النظام دون أن يرى المستخدم أي نشاط على شاشته.
بالاقتران مع تسجيل ضغطات المفاتيح، وسرقة بيانات الاعتماد من المتصفحات المستندة إلى Chromium، والوصول إلى كاميرا الويب، والتقاط الشاشة، ودعم بروكسي SOCKS للحركة الجانبية، فإن CrySome تعمل أشبه بإطار عمل استغلال كامل وليس مجرد أداة وصول عن بعد بسيطة. إن فهم هذه القدرات يصبح أمراً حيوياً لتعزيز الأمن السيبراني.