كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة تُعرف باسم “KimJongRAT”، وتُشكل تهديداً خطيراً لمستخدمي أنظمة ويندوز. يُعتقد أن هذه البرمجية الخبيثة المتطورة تقف خلفها مجموعة “Kimsuky”، وهي جهة تهديد يُزعم أنها مدعومة من جهات حكومية.
تبدأ الحملة عادةً برسالة بريد إلكتروني تصيدية تحتوي على أرشيف خادع يحمل اسم "إشعار ضريبي وطني"، مما يخدع الضحايا غير المرتابين لبدء سلسلة العدوى.
عند فتح الأرشيف المصاب، يُعرض على المستخدمين ملف اختصار مخادع يبدو وكأنه مستند PDF شرعي.
عند تشغيله، يقوم ملف الاختصار هذا بتنفيذ أمر مخفي يقوم بفك ترميز رابط مشفر بـ Base64، ويستغل أداة Microsoft HTML Application الشرعية للتواصل مع خادم عن بعد.
هذه العملية تقوم بتنزيل حمولة إضافية تُعرف باسم tax.hta بشكل سري، مما يسمح بتجاوز الفحوصات الأمنية القياسية.
KimJongRAT: تهديد جديد لمستخدمي ويندوز
حدد محللو الأمن في Alyac أن هذا البرنامج النصي المُحمّل مُنفذ باستخدام VBScript ويستخدم تقنيات تهرب ذكية.
تحاول البرمجية الخبيثة تجنب الكشف عن طريق استخدام خدمات شرعية مثل Google Drive لاستضافة مكوناتها الضارة.
بمجرد تنشيطها، يقوم البرنامج النصي بجلب كل من المستندات الوهمية لخداع المستخدم، والملفات التنفيذية الضارة الفعلية المطلوبة للمرحلة التالية من الهجوم.
استنزاف البيانات الحساسة
الهدف الأساسي لهذه الحملة هو استنزاف البيانات الشخصية والمالية الحساسة. تستهدف البرمجية الخبيثة مجموعة واسعة من المعلومات، بما في ذلك تفاصيل النظام، وبيانات تخزين المتصفح، ومفاتيح التشفير.
على وجه الخصوص، تبحث عن معلومات محافظ العملات المشفرة وبيانات الاعتماد لمنصات الاتصال مثل Telegram و Discord، مما يجعلها أداة خطيرة لسرقة الهوية والاحتيال المالي.
أبرز ما يميز KimJongRAT هو قدرتها على تكييف سلوكها بناءً على الوضع الأمني لبيئة الهدف. تقوم البرمجية الخبيثة بتنفيذ أمر VBScript محدد للتحقق من حالة Windows Defender قبل المتابعة.
تستخدم الكود الفرعي `Set exec = oShell.Exec(ss)` متبوعًا بـ `If InStr(output, “STOPPED”) > 0 Then` لتحديد ما إذا كانت الخدمة الأمنية نشطة.
إذا كان Windows Defender معطلاً، تقوم البرمجية الخبيثة بتنزيل ملف باسم v3.log، والذي يقوم بتنفيذ الحمولة الأساسية. على العكس من ذلك، إذا كان الأمان نشطًا، فإنها تجلب ملفًا بديلاً يسمى pipe.log لتجنب الكشف.
بغض النظر عن المسار المتخذ، تضمن البرمجية الخبيثة ثباتها عن طريق تسجيل نفسها في سجل النظام، مما يضمن تشغيلها تلقائيًا لإرسال البيانات المسروقة بشكل دوري.
بينما تُسلط القائمة بيانات محافظ العملات المشفرة التي تم اختراقها بواسطة البرمجيات الخبيثة الضوء على نطاق التطبيقات المستهدفة، فإنها تُبرز أيضًا القصد المالي المحدد وراء هذا التهديد المُصمم خصيصًا.