كشفت حملة برمجيات خبيثة متعددة المراحل عن استخدامها لملفات Visual Basic Script (VBS) معدة بإخفاء، ومُزلِقات تعتمد على صيغة PNG، وبرمجيات حصان طروادة للوصول عن بعد (RATs) بهدف التسلل إلى الأنظمة دون ترك أثر على القرص. بدأت هذه الجهود برصد مبدئي في بدايات عام 2026، وسرعان ما اتضح أنها منظومة متكاملة تستخدم بنية تحتية مشتركة لإطلاق هجمات مختلفة.
تم اكتشاف أولى دلائل هذه الحملة عبر ملف VBS مشبوه يدعى Name_File.vbs، والذي وجد في مجلد UsersPublicDownloads على أحد الأجهزة المخترقة. نجحت أنظمة حماية نقاط النهاية في اكتشاف الملف وحجزه قبل اكتمال تنفيذه، إلا أن المحتوى المشفر داخله استدعى تحقيقاً أعمق.
كشف حملة برمجيات خبيثة متطورة تستخدم تقنيات إخفاء مبتكرة
بعد فك تشفير محتواه، ظهر أمر PowerShell مشفر بتقنية Base64، متضمنًا روابط تشير إلى خوادم خارجية، مما دل بشكل قاطع على أن الملف مصمم لسحب مكونات إضافية من خادم بعيد. وقدر محللون في LevelBlue أن هذا التنبيه المنفرد كان مجرد نافذة على عملية أكبر بكثير.
أدت التحقيقات التي أجراها فريق استخبارات التهديدات السيبرانية “SpiderLabs” التابع لـ LevelBlue إلى الكشف عن نطاق يتحكم فيه المهاجمون، ويستضيف ملفات VBS معدة بإخفاء، تتصل كل منها بنوع مختلف من البرمجيات الخبيثة. شملت هذه البرمجيات نسخاً من XWorm وبرمجيات Remcos RAT، مخزنة كنص عادي.
في المقابل، لوحظ وجود سلسلة إصابة منفصلة مرتبطة بملف PDF وهمي نشطة على نفس البنية التحتية، مما يؤكد الطبيعة المتعمدة للحملة وتصميمها متعدد المتجهات. تركزت البنية التحتية للمهاجم على مجلدات متاحة للعامة ضمن النطاق news4me[.]xyz، مثل /coupon/، /protector/، و /invoice/.
كان لكل مجلد دور محدد، بدءًا من تجهيز مشغلات VBS، مرورًا باستضافة ملفات الهدف المعدة بإخفاء، وصولًا إلى توفير مسارات إصابة منفصلة تمامًا. هذا الإعداد المعتمد على المجلدات المفتوحة لم يكن عبثيًا، بل سمح للمهاجم بتحديث أو تدوير أو توسيع الأهداف المستضافة بسرعة دون الحاجة لتعديل منطق التسليم الأساسي، مما خلق نظامًا مرنًا وقابلاً للتطوير.
آلية الإصابة: من VBS إلى تنفيذ RAT في الذاكرة
تبدأ الإصابة بملف VBS يعمل كمجرد مشغل، لا يحوي أي شيفرة برمجية خبيثة نشطة بحد ذاته. يقع النص البرمجي تحت طبقات متعددة من إخفاءphenoxy Unicode. إزالة هذه الأحرف تكشف عن أمر PowerShell مشفر يحمل شعار Base64، والذي يعمل كمحرك حقيقي للهجوم.
يعمل أمر PowerShell هذا كمُزِلّق غير قائم على الملفات. فهو يفرض استخدام TLS 1.2 ويستخدم فئة Net.WebClient لجلب ملف عن بعد من عنوان URL على أرشيف الإنترنت. بدلاً من سحب ملف تنفيذي تقليدي، يقوم بجلب صورة PNG تحمل اسم MSI_PRO_with_b64.png.
تبدو الصورة عادية، لكن في داخلها، تحديدًا بين علامات BaseStart و BaseEnd المخصصة، توجد شيفرة PhantomVAI. تقوم هذه الشيفرة بالتحميل مباشرة إلى الذاكرة عبر Reflection.Assembly::Load، مما يعني أنها تعمل بالكامل في ذاكرة الوصول العشوائي وتتجاوز معظم ضوابط الأمان القائمة على الملفات.
بمجرد تشغيل PhantomVAI، يقوم بتمرير عنواني URL إلى دالة VAI الخاصة به لتنفيذ لاحق. عنوان URL الأول، news4me[.]xyz/protector/johnremcos.txt، يحوي سلسلة نصية مشفرة يتم فك تشفيرها لتكشف عن نسخة عاملة من Remcos RAT، مما يمنح المهاجم وصولاً عن بعد مستمراً للجهاز. أما عنوان URL الثاني، فيقوم بتسليم uac.png، وهي ملف PNG يحمل DLL لتجاوز UAC (User Account Control) بنفس التنسيق المضمن – المصمم لتصعيد الامتيازات بصمت.
تمنح هذه الأهداف مجتمعة المهاجم سيطرة كاملة، مع ترك أقل قدر ممكن من الآثار التقليدية القائمة على الملفات. توصي المنظمات بتقييد تنفيذ ملفات .vbs و .bat من المجلدات القابلة للكتابة من قبل المستخدم مثل UsersPublic، بالإضافة إلى فرض سياسات PowerShell مقيدة مع تسجيل التنفيذ في الذاكرة. على مستوى الشبكة، يمكن حظر اتصالات WebDAV وتصفية نطاقات المستوى الأعلى .xyz للحد من الوصول إلى البنية التحتية للمهاجم.
يجب أن يقترن تأمين نقاط النهاية بتحقيقات أعمق في استخبارات التهديدات، حيث أن إيقاف تنبيه واحد ليس كافياً عندما تظل البنية التحتية الأوسع نشطة ومستعدة للنشر من متجهات بديلة.