تم الكشف عن حملة برمجيات خبيثة متطورة تستخدم واجهة تثبيت مزيفة لتطبيق LINE الشهير، بهدف سرقة بيانات تسجيل الدخول للمستخدمين. تستهدف هذه الحملة بشكل خاص الناطقين باللغة الصينية، مستغلة ملفات تنفيذية خادعة لاختراق الأنظمة.
يقوم المهاجمون بتوزيع برمجية ValleyRAT الخبيثة، والتي تعمل كباب خلفي، مقدّمين إياها كبرنامج تثبيت شرعي لتطبيق LINE. الهدف الأساسي هو الاستيلاء على بيانات الاعتماد الحساسة الخاصة بالمستخدمين.
حملة ValleyRAT تستهدف بيانات المستخدمين عبر تثبيت LINE مزيف
تبدأ العملية التنفيذية لبرمجية ValleyRAT سلسلة معقدة من مراحل الإصابة، مصممة لتجاوز ضوابط الأمن على نقاط النهاية. في البداية، تحاول البرمجية تعطيل برنامج Windows Defender بشكل مباشر.
يتم ذلك عبر أوامر PowerShell تهدف إلى استثناء محركات الأقراص بأكملها من عمليات فحص مكافحة الفيروسات. هذه الخطوة تكشف عن مستوى عالٍ من التخطيط والتنفيذ الدقيق من قبل الجهات الفاعلة.
آليات التخفي والتثبيت المتقدمة
من جهة أخرى، تقوم البرمجية بنشر مكتبة خبيثة تحمل اسم intel.dll. تقوم هذه المكتبة بإجراء فحوصات بيئية صارمة، بما في ذلك قفل الملفات وإنشاء “mutexes” لتحديد ما إذا كان الكود يعمل داخل بيئة معزولة (sandbox) أم لا.
إذا تم التأكد من أن البيئة آمنة، تقوم البرمجية بفك حزمة الحمولة الرئيسية، وبذلك يصبح الجهاز المستهدف مخترقًا بالكامل. كشف محللو Cybereason عن هذه الحملة، مشيرين إلى استخدام البرمجية لتقنية حقن متقدمة تعرف باسم “PoolParty Variant 7”.
التخفي داخل العمليات الشرعية
تسمح هذه التقنية للمهاجمين بإخفاء أنشطتهم الخبيثة داخل عمليات النظام الموثوق بها، مما يجعل اكتشاف العدوى أكثر صعوبة. من خلال استغلال منافذ إكمال الإدخال/الإخراج (I/O completion ports) الخاصة بنظام ويندوز، تقوم البرمجية بحقن كود خبيث في عمليات شرعية.
هذا الأسلوب يضمن استمرار البرمجية في العمل بشكل متخفٍ، مع جمع بيانات اعتماد المستخدمين والحفاظ على اتصال دائم بخوادم القيادة والتحكم.
عمليات الاختراق والمقاومة
تتجلى التعقيدات التقنية في هذا المتغير من ValleyRAT بشكل واضح في استراتيجيات التهرب والمقاومة التي يتبعها. تقوم البرمجية بحقن كود في عمليتي Explorer.exe و UserAccountBroker.exe.
تستخدم البرمجية الأخيرة كـ “حارس مراقبة” لضمان بقاء المكونات الخبيثة نشطة. يعتمد هذا الحقن على التلاعب بمقابض النظام عبر واجهات برمجة تطبيقات ويندوز مثل ZwSetIoCompletion، مما يتيح للمهاجمين تنفيذ كود داخل مساحة ذاكرة العمليات الموثوقة.
إضافة إلى ذلك، تقوم البرمجية بمسح نشط لمنتجات الأمان من شركات مثل Qihoo 360، وتعطيل اتصالاتها بالشبكة لتعمية الدفاعات المحلية. لضمان استمراريتها، تسجل البرمجية مهام مجدولة عبر بروتوكولات استدعاء الإجراءات عن بعد (RPC)، مما يضمن التنفيذ التلقائي عند تسجيل دخول المستخدم.
تستخدم البرمجية أيضًا شهادة رقمية صادرة لشركة “Chengdu MODIFENGNIAO Network Technology Co., Ltd” لتبدو شرعية، على الرغم من كون التوقيع غير صالح من الناحية التشفيرية. ولتجنب الإصابة، يجب على المستخدمين تنزيل المثبتات فقط من مصادر رسمية.
كما يجب على فرق الأمن تكوين قواعد الكشف لتمييز الشهادات غير الصالحة ومراقبة العمليات الفرعية المشبوهة التي تنشئها Explorer.exe، مثل UserAccountBroker.exe، التي قد تشير إلى نشاط حقن عمليات محتمل.