كشفت حملة برمجيات خبيثة جديدة عن نهج مزدوج الخطورة، حيث يهاجم برنامج Gh0st RAT وبرنامج CloverPlus الإعلاني معاً، مما يثير قلقاً متزايداً في مجال الأمن السيبراني. يتم توزيع كلا التطبيقين الضارين عبر آلية تحميل واحدة، تمنح المخترقين سيطرة شاملة على الأنظمة المستهدفة وإمكانية تحقيق مكاسب مالية فورية.
يُعد هذا التكتيك المزدوج مؤشراً على تطور استراتيجيات التهديد، حيث يسعى المهاجمون لتعظيم العائد من كل عملية اختراق. فبينما يوفر Gh0st RAT وصولاً طويل الأمد وتحكماً كاملاً، يعمل CloverPlus على تغيير سلوك المتصفح، وبث الإعلانات غير المرغوب فيها، وتوليد إيرادات عبر النوافذ المنبثقة.
تم رصد هذه الحملة وتوثيقها من قبل فريق أبحاث التهديدات في Splunk (STRT)، الذين لاحظوا استخدام آلية تحميل متقدمة تقنية التعتيم لإخفاء الحمولات المشفرة. هذه التقنية تجعل من الصعب على أدوات الأمان التقليدية اكتشاف التهديد.
تحليل دقيق لحملة Gh0st RAT و CloverPlus
تُظهر هذه الحملة، التي تستهدف الأنظمة ببرامج Gh0st RAT و CloverPlus، مدى كفاءة المهاجمين المتزايدة في نشر البرمجيات الخبيثة. بدلاً من الاعتماد على أداة ذات غرض واحد، يقدم المشغلون حالياً حزمة متكاملة تغطي سرقة البيانات والاحتيال الإعلاني في آن واحد. يتطلب هذا التطور من فرق الأمن مراجعة قدرات المراقبة الخاصة بهم وتحديث قواعد الكشف لمواجهة هذه الهجمات المجمعة.
يُعد التأثير المترتب على هذه الحملة كبيراً على الأفراد والمؤسسات على حد سواء. فالبرنامج الإعلاني قد يعطل وظائف المتصفح ويعرض المستخدمين لإعلانات خبيثة، بينما يمكن لبرنامج Gh0st RAT سرقة البيانات الحساسة، وتسجيل ضغطات المفاتيح، ومنع الوصول إلى مواقع أمنية، ومنح المهاجمين وصولاً مستمراً وذو امتيازات إلى النظام المخترق.
آلية العمل: كيف يتم توزيع وتنفيذ الحمولات المزدوجة
تبدأ آلية التحميل المذكورة بهدف التخفي، حيث تخفي حمولتين مشفرتين داخل قسم مواردها. أول ما يتم إطلاقه هو وحدة CloverPlus الإعلانية، المسؤولة عن تعديل صفحات بدء تشغيل المتصفح وحقن الإعلانات المنبثقة.
بعد معالجة البرنامج الإعلاني، يتحقق المشغل مما إذا كان مسار ملفه موجوداً ضمن مجلد %temp% للنظام. إذا لم يكن كذلك، فإنه ينسخ نفسه إلى هناك قبل الانتقال إلى الخطوة التالية: فك تشفير وحدة Gh0st RAT، المخزنة كمورد مشفر في قسم RSRC من البرنامج الضار.
بعد فك التشفير، يقوم البرنامج الضار بإنشاء اسم ملف عشوائي ويحفظ الـ DLL المفكوك في مجلد مسمى عشوائياً في جذر محرك الأقراص C:. يتم بعد ذلك تشغيل الـ DLL المفكوك باستخدام تطبيق Windows الشرعي rundll32.exe. تسمح هذه التقنية للبرنامج الضار بتنفيذ التعليمات البرمجية تحت عملية نظام موثوقة، مما يقلل من احتمالية تشغيل تنبيهات الأمان القياسية.
بمجرد تفعيل Gh0st RAT، يبدأ في جمع معلومات النظام، بما في ذلك عنوان MAC للجهاز والرقم التسلسلي لمحرك الأقراص الثابتة، لتحديد الجهاز المصاب بشكل فريد داخل البنية التحتية للقيادة والتحكم (C2) للمهاجم.
.webp.png)
للبقاء على النظام بعد إعادة التشغيل، يستخدم Gh0st RAT طرقاً متعددة لضمان الاستمرارية. فهو يكتب نفسه في مفتاح تسجيل Windows Run، ويسجل أيضاً DLL ضار كجزء من خدمة Windows Remote Access تحت المسار SYSTEMCurrentControlSetServicesRemoteAccessRouterManagersIp. وهذا يمنحه امتيازات على مستوى النظام في كل مرة تبدأ فيها الخدمة، دون الحاجة إلى أي إجراء من المستخدم.
يجب على فرق الأمن مراقبة rundll32.exe وهو يقوم بتحميل امتدادات ملفات غير قياسية من مجلدات غير عادية. يجب أن تصنف أدوات نقاط النهاية أي تنفيذ عملية ينشأ من مجلد %temp% على الفور. يجب أن تؤدي التعديلات على السجل في مفاتيح Run ومسارات خدمة RemoteAccess إلى تشغيل تنبيهات فورية. يجب على المؤسسات أيضاً مراقب تأخيرات التنفيذ المستندة إلى Ping، والتي يستخدمها هذا البرنامج الضار للتهرب من تحليل صندوق الرمل. يمكن أيضاً أن تشير شذوذ حركة مرور DNS والتغييرات غير المتوقعة في ملف hosts النظام إلى وجود إصابة نشطة بـ Gh0st RAT.