ظهرت تهديدات سيبرانية متقدمة في الآونة الأخيرة، تمثلت في اكتشاف الإصدار 2.9 من برمجية DesckVB RAT. هذه الأداة الخبيثة، المصممة على إطار عمل .NET، أصبحت محور حملات نشر البرمجيات الضارة خلال فترة بداية عام 2026.
يتميز هذا التهديد بمستوى عالٍ من النضج التشغيلي، حيث يهدف إلى السيطرة الدائمة على الأنظمة المخترقة مع مراوغة آليات الدفاع التقليدية.
تبدأ آلية عمل البرنامج الضار من خلال ملف JavaScript مبهم يعتمد على Windows Script Host (WSH). يقوم هذا الجزء الأولي بنسخ نفسه إلى مجلدات المستخدمين العامة وتنفيذه عبر محرك wscript، وذلك بهدف إخفاء نشاطه.
من خلال استغلال المكونات الأصلية لنظام ويندوز، يتمكن المهاجمون من جعل حركة بياناتهم الخبيثة تبدو كأنها عمليات نظام شرعية، مما يعقد جهود الكشف لمختصي الأمن السيبراني.
DesckVB RAT: تهديد متطور وسلسلة إصابة متعددة المراحل
أشار محللون من GitHub إلى أن هذا النشاط الأولي هو مجرد بوابة لمرحلة أكثر قوة.
بعد التنفيذ الأولي، تنتقل سلسلة العدوى إلى مرحلة PowerShell التي تجري فحوصات مكثفة لمنع التحليل. تتحقق هذه المرحلة من الاتصال بالإنترنت وتمسح وجود أدوات التصحيح، مما يضمن أن البيئة آمنة قبل تنزيل المكونات الخبيثة الأساسية. هذا التحقق الدقيق يمنع تشغيل البرمجيات الخبيثة في البيئات المعزولة (Sandboxes).
يكمن تأثير DesckVB RAT في استقراره وقدرته على التخفي. باستخدام مُحمّل .NET بدون ملفات، يتم تشغيل البرنامج الضار مباشرة في الذاكرة دون ترك أثر مادي على القرص. هذا النهج الذي يعتمد على “العيش على الأرض” (Living off the land) يسمح له بتجاوز العديد من وسائل الحماية الثابتة لفحص الملفات، مما يجعل التحليل الجنائي أكثر صعوبة لمستجيبي الحوادث.
نظام بيئي معياري للمكونات الإضافية
تُعد البنية المعيارية القائمة على المكونات الإضافية (Plugins) هي الميزة الأكثر تميزاً لـ DesckVB RAT، حيث تسمح للمشغلين بتوسيع القدرات ديناميكيًا.
بدلاً من دمج كل وظيفة خبيثة في ملف تنفيذي واحد، يمكن للمهاجمين نشر وحدات معينة بشكل انتقائي بعد الاختراق، بناءً على قيمة الهدف.
تشمل المكونات الإضافية المعتمدة مسجل مفاتيح شامل يتتبع النوافذ النشطة، ومشغل كاميرا ويب باستخدام DirectShow، ومُحصي لبرامج مكافحة الفيروسات التي تستعرض المنتجات الأمنية المثبتة.
يتم تسليم هذه الوحدات عبر بروتوكول TCP مخصص يستخدم فواصل مميزة لإدارة الحمولة. هذا التنوع يحول أداة الوصول عن بعد (RAT) من مجرد باب خلفي بسيط إلى أداة تجسس متعددة الاستخدامات، قادرة على التكيف مع احتياجات تشغيلية مختلفة دون الحاجة إلى إعادة إصابة النظام المضيف بالكامل.
ينصح متخصصو الأمن بالتركيز على الكشف السلوكي للتخفيف من هذا التهديد.
مراقبة التنفيذ غير الطبيعي لـ wscript.exe وسكريبتات PowerShell التي تبني مصفوفات بايت عشرية يمكن أن توفر علامات إنذار مبكرة.
يُعد التأكد من ضبط أنظمة الكشف على نقاط النهاية لرصد تحميلات الشفرة الانعكاسية (Reflective code loading) أمرًا ضروريًا للتخفيف الفعال ضد هذه الهجمات المتطورة.