كشف خبراء الأمن السيبراني عن تهديد جديد يتمثل في برنامج خبيث يطلق عليه اسم DesckVB، وهو نوع من برامج الوصول عن بعد (RAT) يستخدم تقنيات متطورة لتجنب اكتشافه. تم اكتشاف DesckVB RAT في عام 2026، ويمنح المهاجمين سيطرة كاملة على الأجهزة المصابة، مما يجعله مصدر قلق كبير للمؤسسات والأفراد على حد سواء.
يبدأ DesckVB RAT سلسلة الإصابة بملف JavaScript مشفر بشكل كبير، والذي عند تنفيذه، يقوم بصمت بإسقاط سكريبت PowerShell في مجلد C:UsersPublic على النظام المستهدف. يحاكي هذا السكريبت شيفرته في ملفات PowerShell وملفات نصية، مما يمنح البرمجيات الخبيثة طرقًا متعددة للتشغيل.
DesckVB RAT: التهديد الجديد في عالم الأمن السيبراني
تعتبر هذه البرمجيات الخبيثة خطيرة بشكل خاص لأنها تتجنب كتابة معظم مكوناتها الأساسية على القرص الصلب، مما يجعل اكتشافها بواسطة أدوات مكافحة الفيروسات التقليدية أكثر صعوبة. قام محللو Point Wild من فريق LAT61 لاستخبارات التهديدات بفحص DesckVB RAT بالتفصيل، وكشفوا كيف يستخدم تشفيرًا متعدد الطبقات لإخفاء غرضه الحقيقي في كل مرحلة من مراحل التنفيذ.
وجد بحثهم أن البرمجيات الخبيثة تجمع بين ترميز Base64 وعكس سلاسل URL لإخفاء عناوين خوادم القيادة والتحكم (C2)، وهي تكتيكات مصممة لخداع أدوات المسح الآلي. تشير البنية العامة للبرمجيات الخبيثة إلى أنها بنيت بفهم واضح لكيفية عمل الدفاعات الأمنية الحديثة.
سلسلة الإصابة عديمة الملفات
بمجرد نشرها بالكامل، يقوم DesckVB RAT بتحميل تجميع .NET مباشرة في الذاكرة باستخدام تقنيات .NET reflection، متجاوزًا الحاجة إلى ترك أي ملفات على القرص الصلب. يسمح هذا التنفيذ داخل الذاكرة للبرمجيات الخبيثة بتشغيل روتيناتها الضارة دون إطلاق العديد من أنظمة الكشف التقليدية القائمة على الملفات.
في وقت التشغيل، تقوم البرمجيات الخبيثة بتنشيط العديد من القدرات الضارة، بما في ذلك تسجيل ضغطات المفاتيح، والوصول إلى كاميرا الويب، وتجنب اكتشاف برامج مكافحة الفيروسات، والتواصل المشفر مع خادم C2 الخاص بها. يمتد التأثير الإجمالي لـ DesckVB RAT على نطاق واسع ومقلق.
يمكن للمهاجمين الذين ينشرون هذه البرمجيات الخبيثة سرقة معلومات حساسة، ومراقبة نشاط المستخدم في الوقت الفعلي، والحفاظ على وصول طويل الأمد إلى النظام المخترق دون إثارة إنذارات فورية. يسمح استخدامها لحركة مرور HTTPS المشفرة عبر المنفذ 443 لها بالاندماج مع نشاط الإنترنت العادي، مما يجعل الكشف على مستوى الشبكة صعبًا بنفس القدر.
الجانب الأكثر بروزًا في DesckVB RAT هو كيفية تحركه عبر مراحل الإصابة دون الاعتماد على ملفات تقليدية. يبدأ تدفق البرمجيات الخبيثة بملف JavaScript، الذي يعمل كنقطة دخول أولى. هذا الملف مشفر بكثافة ويسقط ملف PowerShell مباشرة في C:UsersPublic، مما يحافظ على أنشطته ضمن مجلدات النظام التي يتم تجاهلها بشكل عام.
يقوم سكريبت PowerShell أولاً بالتحقق من الاتصال بالإنترنت عن طريق اختبار الاتصال بجوجل، ثم يحاول الاتصال بنطاق خارجي خبيث. يتم إخفاء نطاق C2 باستخدام ترميز Base64 مع عكس السلسلة. تستخدم البرمجيات الخبيثة أداة Windows الشرعية InstallUtil.exe لتنفيذ حمولتها – وهي تقنية معروفة لتجاوز سياسات التحكم في التطبيقات.
من هناك، يقوم السكريبت بتحميل ClassLibrary3.dll مباشرة في الذاكرة ويستدعي الطريقة المشفرة prFVI، والتي تقوم بعد ذلك بتحميل ClassLibrary1.dll. تستخدم طريقة Execute داخل هذا المحمل CreateProcessA لإنشاء عملية جديدة في حالة معلقة قبل حقن الحمولة الضارة. يسمح هذا النهج لحقن العمليات للبرمجيات الخبيثة بالاختباء داخل العمليات الموثوق بها وتجنب لفت الانتباه.
الحمولة النهائية، Microsoft.exe، تحمل مصفوفات سلاسل مرمزة تحتوي على تكوين وقت تشغيل مخفي. بمجرد تفعيلها، تقوم بإسقاط Keylogger.dll مباشرة في الذاكرة وتبدأ اتصال C2 عبر manikandan83.mysynology.net على المنفذ 7535، والتي يتم حلها إلى IP 45.156.87.226. تؤكد عمليات التقاط الشبكة أن البرمجيات الخبيثة ترسل أسماء وحداتها وأنشطتها الداخلية إلى خادمها البعيد.
يجب على فرق الأمان الانتباه إلى تنفيذ PowerShell غير الطبيعي، والاستخدام غير المتوقع لـ InstallUtil.exe، والاتصالات الصادرة إلى نطاقات أو عناوين IP غير معروفة. يعد حظر تنفيذ البرامج النصية من C:UsersPublic وتمكين تسجيل برامج PowerShell النصية المفصلة خطوات عملية أولى للقبض على هذا التهديد مبكرًا. يظل تحديث برامج حماية نقطة النهاية أمرًا ضروريًا للدفاع.