كشفت حملة خبيثة متطورة تستهدف المستخدمين في كوريا الجنوبية عن طريقة جديدة لتوزيع برمجيات التروجان للوصول عن بعد (RAT)، والمعروفة باسم Remcos، حيث تقوم بانتحال شخصية برامج VeraCrypt الشرعية لتشفير الملفات. تستهدف هذه الهجمات بشكل أساسي الأفراد المرتبطين بمنصات المقامرة عبر الإنترنت غير القانونية، ولكن حذر خبراء الأمن من أن المستخدمين العاديين الذين يقومون بتنزيل أدوات التشفير قد يقعون أيضاً ضحايا لهذه الخطة.
يستخدم المهاksom وراء هذه العملية طريقتين منفصلتين لنشر الحمولة الخبيثة. يتمثل النهج الأول في برامج وهمية للبحث في قواعد البيانات، تظهر وكأنها تتحقق من قوائم الحظر لحسابات مواقع المقامرة، بينما يتنكر النهج الثاني في شكل مثبتات أدوات VeraCrypt حقيقية.
لوحظ أن كلا القناتين التوزيعيتين تقومان بنشر البرامج الضارة عبر متصفحات الويب ومنصات المراسلة مثل Telegram، باستخدام أسماء ملفات مثل “*****usercon.exe” و “blackusernon.exe” لخداع الضحايا المطمئنين.
حدد محللو ASEC أن المثبتات المزيفة، بمجرد تشغيلها، تقوم بنشر نصوص برمجية خبيثة (VBS) مخبأة داخل أقسام الموارد الخاصة بها. هذه النصوص البرمجية مكتوبة ليتم حفظها في الدليل المؤقت للنظام بأسماء ملفات عشوائية قبل تفعيلها.
تبدأ البرامج الضارة بعد ذلك في سلسلة إصابة معقدة تتضمن مراحل متعددة من نصوص VBS و PowerShell المبهمة، مما يؤدي في النهاية إلى تسليم حمولة Remcos RAT التي تمنح المهاجمين سيطرة كاملة عن بعد على الأنظمة المخترقة.
يمتد تأثير هذه الحملة إلى ما وراء مجرد الوصول غير المصرح به. Remcos RAT مجهز بقدرات واسعة لسرقة البيانات، بما في ذلك تسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، والتحكم في الويب كام والميكروفون، وسرقة بيانات الاعتماد من متصفحات الويب.
مراحل متعددة لسلسلة الإصابة وتسليم الحمولة
تستخدم الهجوم عملية إصابة متطورة مكونة من ثماني مراحل، مصممة لتجنب الكشف بواسطة برامج الأمان. بعد أن يقوم المُنزل الأولي (dropper) بالتنفيذ، تنتقل البرامج الضارة عبر خمس مراحل من أدوات التنزيل النصية باستخدام نصوص VBS و PowerShell المبهمة مع امتدادات ملفات مضللة. تحتوي النصوص البرمجية الوسيطة هذه على تعليقات وهمية، وبيانات غير ضرورية، وملفات تتنكر كصور JPG، بينما في الواقع هي تتضمن حمولات خبيثة مشفرة بتنسيق Base64.
تتوج سلسلة الإصابة بحقن (injector) يعتمد على .NET، يتواصل مع المهاجمين عبر خطافات الويب (webhooks) الخاصة بـ Discord. يقوم هذا الحقن بتنزيل حمولة Remcos RAT النهائية من خوادم بعيدة، وفك تشفيرها، وحقنها مباشرة في عملية AddInProcess32.exe للحفاظ على الاستمرارية.
من الجدير بالذكر أن باحثي الأمن اكتشفوا أن بعض المتغيرات تستخدم سلاسل نصية باللغة الكورية في إعدادات التكوين ومفاتيح التسجيل، مما يشير إلى الطبيعة المستهدفة للحملة تجاه المستخدمين الناطقين باللغة الكورية.