وجهت منظمة Ahnlab Security Intelligence Center (ASEC) تحذيراً لسكان كوريا الجنوبية بشأن انتشار برمجية خبيثة جديدة تعرف باسم xRAT، والتي تستهدف مستخدمي أنظمة ويندوز. تتنكر هذه البرمجية كألعاب للبالغين ليتم توزيعها عبر خدمات مشاركة الملفات، موجهة ضربة جديدة للمستخدمين عبر تقنيات الهندسة الاجتماعية المتطورة.
تُعرف برمجية xRAT أيضاً باسم QuasarRAT، وهي حصان طروادة للوصول عن بعد، وقد استطاعت أن تخترق دفاعات المستخدمين عبر استغلال شعبية خدمات مشاركة الملفات في كوريا. يقوم المهاجمون بتحميل ملفات مضغوطة تبدو كعناوين جذابة، إلا أنها تخفي بداخلها البرمجية الخبيثة، مما يجعلها تهديداً سيبرانياً حقيقياً.
xRAT malware: آلية الانتشار والتخفي
تعتمد آلية انتشار xRAT malware على استغلال الثقة التي يضعها المستخدمون في خدمات مشاركة الملفات الشائعة. يقوم المهاجمون بتضمين البرمجية داخل ملفات تبدو كألعاب أو محتوى ترفيهي، مستفيدين من أسماء وصفات ملفات ملفتة تجذب المستخدمين لتنزيلها دون شك.
من جهة أخرى، تظهر التحليلات الأمنية من ASEC أن هذه الهجمات غالباً ما تكون جزءاً من حملات منسقة. على الرغم من حذف العديد من المنشورات المشبوهة، إلا أن الباحثين أكدوا وجود تشابه كبير بين محتويات البرمجيات الخبيثة في ألعاب مختلفة تم توزيعها، مما يشير إلى استراتيجية موحدة للمهاجمين.
تفاصيل العملية العدوانية
عندما يقوم المستخدم بتنزيل الملف، فإنه غالباً ما يحتوي على ملف ZIP يتضمن عدة مكونات. أبرزها هو ملف Game.exe، والذي يعمل كواجهة لبدء التشغيل، وليس كتطبيق لعبة فعلي. عند محاولة تشغيل اللعبة، تبدأ البرمجية في نسخ ملفات أخرى مثل Data1.Pak إلى مجلد Locales_module باسم Play.exe، بينما تقوم بنسخ Data2.Pak و Data3.Pak إلى دليل نظام ويندوز باسم GoogleUpdate.exe و WinUpdate.db.
تزداد التعقيدات عند تشغيل ملف GoogleUpdate.exe. يقوم هذا الملف بالبحث عن WinUpdate.db في نفس الدليل، ثم يستخدم تشفير AES لفك تشفير واستخراج جزء أساسي من الشفرة يعرف بـ shellcode. ومن المثير للقلق أن هذه الشفرة يتم حقنها داخل عملية explorer.exe، وهي عملية بالغة الأهمية للنظام، مما يمنح البرمجية صلاحيات مرتفعة.
بالإضافة إلى ذلك، تقوم البرمجية بتعديل وظيفة EtwEventWrite داخل explorer.exe. هذا التعديل يعطل تسجيل الأحداث الخاصة بنظام ويندوز (ETW)، مما يجعل اكتشاف الأنشطة المشبوهة أكثر صعوبة على أدوات الأمن الإداريين. تتيح هذه التقنية للمهاجمين العمل بصمت أكبر.
الشفرة النهائية المحقونة هي حمولة xRAT malware الفعلية، والتي تمكن البرمجية من تنفيذ عمليات ضارة مثل جمع معلومات النظام، وتسجيل ضربات لوحة المفاتيح، ونقل الملفات بشكل غير مصرح به. وينصح الخبراء الأمنيون المستخدمين بتنزيل البرامج من مصادر رسمية فقط، والتعامل بحذر شديد مع مواقع مشاركة الملفات لتجنب الوقوع ضحية لمثل هذه التهديدات.