كشف خبراء الأمن السيبراني حملة تجسسية جديدة تستغل رغبة الباحثين عن عمل في الحصول على وظائف، حيث يقوم المحتالون بنشر برمجيات خبيثة عبر ملفات تبدو كعروض عمل مشروعة. تندرج هذه الحملة تحت مسمى “ValleyRAT”، وتستهدف المستخدمين الذين يبحثون بنشاط عن فرص عمل من خلال إرسال رسائل بريد إلكتروني تحتوي على عروض وظيفية مزيفة ومواد دعائية للشركات.
تنتشر هذه الحملة الضارة عبر ملفات مضغوطة ذات أسماء احترافية، مثل “Overview_of_Work_Expectations.zip” أو “Candidate_Skills_Assessment_Test.rar”. عند قيام الباحثين عن عمل بفتح هذه الملفات، فإنهم يمنحون بذلك وصولاً غير مصرح به لبرمجية خبيثة قادرة على السيطرة على أجهزتهم.
ValleyRAT: التنكر ببرنامج Foxit PDF Reader
يتمثل التكتيك الرئيسي الذي يتبعه المحتالون في استغلال برنامج “Foxit PDF Reader” الشهير. فداخل كل ملف مضغوط خبيث، يتم إخفاء ملف تنفيذي يبدو كالتطبيق الأصلي لبرنامج Foxit، مع استخدام أيقونته المميزة.
يشاهد المستخدمون رمز PDF المألوف ويعتقدون أنهم يفتحون مستنداً بسيطاً، لكنهم في الواقع يقومون بتشغيل برمجية خبيثة مخفية تهدف إلى السيطرة الكاملة على أجهزتهم.
بعد الخدعة الأولية، يعتمد المحتالون على تقنية “تحميل ملفات DLL الجانبية” لتشغيل الحمولة الخبيثة دون إثارة أي شكوك. وقد رصد باحثو الأمن في شركة Trend Micro هذه الحملة بعد ملاحظة زيادة كبيرة في اكتشافات ValleyRAT خلال أواخر أكتوبر.
يعود نجاح هذه البرمجية الخبيثة إلى دمج تقنيات هجوم متعددة تعمل بتناغم تام.
الهندسة الاجتماعية واستغلال الحاجة
تستغل الحملة الضغوط النفسية التي يعيشها الباحثون عن عمل، مما يجعلهم أقل حذراً عند تحميل الملفات. كما تساهم هياكل المجلدات المزيفة والمجلدات المخفية في خلق طبقات من التعقيد، مما يساعد البرمجية الخبيثة على التهرب من الكشف.
بمجرد تفعيلها، تعمل البرمجية الخبيثة بصمت في الخلفية، بينما يعتقد المستخدم أنه يتصفح إعلاناً وظيفياً حقيقياً.
فهم سلسلة الإصابة بـ ValleyRAT
تتضمن عملية الإصابة تسلسلاً دقيقاً ومنظماً. عندما ينقر المستخدم على الملف التنفيذي الذي تم تغيير اسمه ليوحي بأنه من Foxit، يتم تلقائياً تحميل مكتبة خبيثة (msimg32.dll) عبر آلية البحث عن الملفات في نظام ويندوز.
ينتج عن ذلك تشغيل سكربت يتم استخراج بيئة Python مخفية بداخله، والتي تكون مخزنة في ملفات مستندات تبدو بريئة. يقوم مترجم Python بدوره بتنزيل وتنفيذ سكربت خبيث يحتوي على شفرة نصية (shellcode)، والتي تقوم في النهاية بنشر نسخة ValleyRAT الكاملة.
تضمن البرمجية الخبيثة استمراريتها من خلال إنشاء سجلات في واجهة التسجيل (registry entries)، مما يضمن بقاءها نشطة حتى بعد إعادة تشغيل النظام.
بمجرد تثبيتها، تمنح ValleyRAT المهاجمين سيطرة كاملة على الأجهزة المخترقة. تستطيع البرمجية مراقبة نشاط المستخدم، وسرقة المعلومات الحساسة من متصفحات الويب، واستنزاف البيانات القيمة من الأنظمة المصابة.
تشير الأدلة إلى أن البرمجية الخبيثة تستهدف بشكل خاص معلومات كلمات المرور وبيانات تسجيل الدخول المخزنة في المتصفحات الشائعة، مما يجعلها تهديداً خطيراً للأمن المالي الشخصي وحماية الهوية.
يبقى الباحثون عن عمل ومتخصصو الموارد البشرية الأهداف الأساسية لهذه الحملة، ومع ذلك، تتطور الحملة باستمرار لتشمل جماهير أوسع.