كشفت تقارير أمنية حديثة عن ظهور موجة جديدة من الهجمات السيبرانية تستهدف أنظمة التشغيل ويندوز، وذلك عبر استخدام برمجية خبيثة متطورة تُعرف باسم Pulsar RAT. تسعى هذه البرمجية إلى تثبيت وجودها داخل الأنظمة عبر آلية تسجيل المفاتيح التشغيلية المخصصة لكل مستخدم، مما يضمن تشغيلها التلقائي عند كل عملية تسجيل دخول.
تمثل هذه البرمجية تهديداً خطيراً يجمع بين القدرة على التخفي، والتشبث بالأنظمة، وسرقة البيانات الحساسة، مصممة لتجنب كشف أنظمة الأمان التقليدية. تبدأ عملية الهجوم بملف دفعي مشفر يقوم بنسخ نفسه بهدوء إلى مجلد مخفي داخل دليل AppData الخاص بالمستخدم.
يقوم هذا الملف بعد ذلك بتسجيل نفسه في سجل ويندوز تحت المسار HKCUSoftwareMicrosoftWindowsCurrentVersionRun، مما يضمن تشغيل البرمجية الخبيثة تلقائياً عند بدء التشغيل دون الحاجة إلى صلاحيات إدارية. بمجرد أن تصبح نشطة، تطلق Pulsar RAT سلسلة عدوى متعددة المراحل تستخرج وتنفيذ محملات PowerShell مضمنة، مع تقليل آثار القرص التي قد تنبه أنظمة الأمان.
آليات الثبات والحماية في Pulsar RAT
وفقاً لتحليلات خبراء الأمن، تعمل البرمجية الخبيثة باستخدام تقنيات “العيش خارج الأرض” (Living-off-the-land) وطرق توصيل الحمولة في الذاكرة. تقوم مرحلة PowerShell بفك تشفير وحقن شل كود (shellcode) تم إنشاؤه بواسطة Donut مباشرة في عمليات ويندوز الشرعية مثل explorer.exe، مستخدمةً التنفيذ المؤجل وآلية مراقبة للحفاظ على ثبات مرن.
يكشف فك تشفير الشل كود عن حمولة .NET مشفرة، تدعم قدرات سرقة البيانات والوصول عن بعد مدمجة بشكل كامل، وتستهدف بيانات الاعتماد، والمراقبة، والتحكم في النظام. تظهر البرمجية تقنيات متقدمة لمكافحة التحليل، بما في ذلك مكافحة المحاكاة الافتراضية، ومكافحة التصحيح، واكتشاف حقن العمليات.
تشمل البيانات المسروقة بيانات اعتماد المتصفحات، ومحافظ العملات المشفرة، وإعدادات VPN، وحسابات منصات الألعاب، ورموز تطبيقات المراسلة. يتم ضغط جميع المعلومات المجمعة في أرشيفات ZIP ثم نقلها عبر Discord webhooks وروبوتات Telegram، مع وضع علامة على الرسائل بـ “stealer by @aesxor”، مما يساعد المهاجمين على تتبع الضحايا المصابين.
تضمن Pulsar RAT الوصول طويل الأمد من خلال الثبات المزدوج، مستخدمةً المهام المجدولة في ويندوز ومفاتيح التشغيل في السجل كخطوط دعم. تقوم البرمجية بإنشاء مهمة مجدولة لإعادة التشغيل عند تسجيل دخول المستخدم بأعلى الصلاحيات المتاحة، بينما تسجل في نفس الوقت مسار الملف التنفيذي تحت مفتاح التشغيل الخاص بالمستخدم الحالي.
هذا التكرار يضمن استمرار التنفيذ حتى في البيئات المقيدة التي قد يتم فيها حظر إحدى طرق الثبات أو مراقبتها. تواجه جهود الكشف تحديات كبيرة بسبب خيوط المراقبة المستمرة في الخلفية للبرمجية الخبيثة، والتي تراقب أدوات التصحيح، والأجهزة الافتراضية، ومحاولات الحقن.
عند اكتشاف أدوات التحليل مثل x64dbg، WinDbg، dnSpy، أو IDA عبر تعداد النوافذ أو فحوصات واجهة برمجة التطبيقات، تنهي البرمجية الخبيثة نفسها فوراً لتجنب الفحص. يمتد هذا الأمان الذاتي ليشمل اكتشاف نقاط التوقف العتادية، وأعلام تصحيح PEB، وتقنيات معالجة المقابض، التي تشكل معاً إطار عمل شامل لمكافحة التحليل مصمم لمقاومة الهندسة العكسية.
يجب على المؤسسات تبني أنظمة الكشف السلوكي القادرة على تحديد حقن الشل كود في الذاكرة، ومراقبة تعديلات مفاتيح التشغيل في السجل، وتدقيق أنماط تنفيذ PowerShell غير العادية. يمكن أيضاً أن يساعد رصد الشبكة للاتصالات بخوادم القيادة والتحكم المعروفة على عنوان IP 185.132.53.17 بالمنفذ 7800، وحظر قنوات استخراج البيانات عبر Discord و Telegram، في احتواء الإصابات النشطة.