حملة برمجيات خبيثة جديدة تستخدم مستودعات GitHub لنشر برمجية WebRAT الخبيثة، متخفية في شكل استغلالات لإثبات المفاهيم (proof-of-concept) وأدوات مساعدة للألعاب. يستهدف هذا النوع من الهجمالات المستخدمين الذين يبحثون عن أدوات الغش في الألعاب، والبرامج المقرصنة، وتحديثات التطبيقات.
ينتشر WebRAT عبر قنوات متعددة تشمل مستودعات GitHub، وتعليقات فيديوهات YouTube، ومواقع البرامج المقرصنة. يعمل WebRAT كأداة سرقة وبيانات وصول عن بعد، قادرة على استخلاص معلومات تسجيل الدخول الخاصة بـ Steam، Discord، Telegram، ومحافظ العملات المشفرة.
WebRAT Malware: أداة هجوم جديدة تستهدف المستخدمين عبر GitHub
تتضمن البرمجية الخبيثة ميزات متقدمة مثل مراقبة شاشة سطح المكتب، والوصول إلى كاميرا الويب، والتحكم الكامل في الكمبيوتر عبر واجهة المستخدم. تمكن هذه القدرات المهاجمين من جمع المعلومات الشخصية، ومراقبة أنشطة الضحايا في الوقت الفعلي، وحتى نشر حمولات خبيثة إضافية مثل برامج تعدين العملات المشفرة أو برامج طلب الفدية.
يمكن استخدام البيانات التي تم جمعها في الاستيلاء على الحسابات، أو السرقة المالية، أو الابتزاز، أو هجمات “Swatting” التي يتم فيها تقديم بلاغات شرطة كاذبة لترهيب الضحايا. اكتشف محللون البرنامج الخبيث WebRAT أثناء أبحاثهم في أنشطة الويب المظلم، ووجدوا أن الإصدارات الأولى منه ظهرت في يناير 2025.
يتم الآن بيع البرمجية الخبيثة لمجرمي الإنترنت عبر قنوات مغلقة، مما يجعلها متاحة لمجموعة أوسع من الجهات الفاعلة في مجال التهديدات. كشفت مناقشات على منصات المهاجمين عن حالات واقعية مزعومة تم فيها استخدام WebRAT للابتزاز وهجمات Swatting، مما يدل على أن هذا ليس مجرد تهديد نظري.
آلية التوزيع والإصابة
تعتمد إستراتيجية نشر البرمجيات الخبيثة بشكل كبير على الهندسة الاجتماعية، حيث ينشر المهاجمون مقاطع فيديو تعليمية وهمية ويتركون روابط تنزيل لأرشيفات خبيثة في قسم التعليقات. يمتد الخطر الأساسي إلى ما هو أبعد من اللاعبين الأفراد ليشمل موظفي الشركات الذين يقومون بتنزيل برامج مقرصنة على أجهزة الشركة.
بمجرد التثبيت، يمكن لـ WebRAT اختراق معلومات الشركة الحساسة، بما في ذلك محادثات المكتب وبيانات الأعمال السرية. تتيح قدرة البرمجية الخبيثة على التحكم في الأنظمة المصابة عن بعد للمهاجمين التنقل عبر شبكات الشركات، مما قد يؤدي إلى خروقات أمنية أكبر.
ينتشر WebRAT من خلال حملات هندسة اجتماعية مصممة بعناية تستغل ثقة المستخدمين في المنصات مفتوحة المصدر مثل GitHub. ينشئ المهاجمون مستودعات تبدو وكأنها تستضيف استغلالات مشروعة لإثبات المفاهيم، أو أدوات غش للألعاب، أو برامج مساعدة. غالبًا ما تتضمن هذه المستودعات وثائق تفصيلية ومراجعات وهمية لزيادة المصداقية.
على YouTube، يقوم الجهات الفاعلة في مجال التهديدات بتحميل مقاطع فيديو تعليمية توضح كيفية استخدام الأدوات المزيفة ونشر روابط التنزيل في قسم التعليقات. عندما يقوم المستخدمون بتنزيل وتشغيل هذه الملفات، تقوم البرمجية الخبيثة بالتثبيت بصمت دون إثارة شكوك فورية. ثم تقوم البرمجية الخبيثة المضمنة بإنشاء استمرارية على نظام الضحية وتبدأ في استخلاص البيانات إلى خوادم القيادة والتحكم.
يمكن لفرق الأمن اكتشاف نشاط WebRAT باستخدام مؤشرات الاختراق (Indicators of Compromise) التي توفرها Solar 4RAYS، والتي تشمل عناوين الخوادم وبصمات الشبكة المرتبطة بقنوات الاتصال الخاصة بالبرمجية الخبيثة.