كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة جديدة تستغل ثقة المستخدمين في تطبيقات شائعة مثل Telegram، بهدف نشر برمجية الفدية ValleyRat. تستهدف هذه الهجمات المستخدمين عبر نواقل توزيع متعددة، بما في ذلك المثبتات المزيفة لتطبيقات معروفة، بهدف الوصول طويل الأمد إلى الأنظمة المخترقة.
تُنسب هذه الحملة إلى مجموعة التهديد المعروفة باسم Silver Fox، وهي جهة فاعلة تهدد مرتبطة بالصين، وقد ظلت نشطة منذ عام 2022 على الأقل. تبدأ الإصابة عندما يقوم الضحايا بتنزيل ما يبدو أنه مثبت تطبيقات شرعي، وغالبًا ما يتم توزيعه عبر رسائل بريد إلكتروني تصيدية أو إعلانات خبيثة، مما يمهد الطريق لنشر ValleyRat.
حملة ValleyRat تستهدف تطبيقات شائعة
تبدأ دورة الإصابة بالحصول على مثبتات خبيثة تم تصميمها لتبدو كأنها تطبيقات شرعية، مما يخدع المستخدمين لثبيتها على أجهزتهم. بمجرد التثبيت، تبدأ البرمجية الخبيثة العمل في الخلفية، وتتجاوز الإجراءات الأمنية المعتادة، وتضمن بقاءها نشطًا على النظام.
نجح الباحثون في Nextron Systems في تحديد هذه الحملة وتحليلها بدقة، حيث كشفوا عن استراتيجيات المهاجمين المتعددة. تتضمن هذه الاستراتيجيات طبقات من الإخفاء، والتلاعب بأنظمة الحماية، وتقنيات على مستوى نواة النظام (kernel-level) لتجنب الكشف وتأسيس اتصالات القيادة والتحكم مع خوادم بعيدة.
تفاصيل آلية الإصابة
تشير التحقيقات إلى أن التوزيع الرئيسي يتم عبر مثبتات Telegram المزيفة. ووفقاً للتقارير، فإن إحدى العينات التي تم فحصها، والمعروفة باسم tg.exe، تحمل قيمة تجزئة SHA-256 هي 9ede6da5986d8c0df3367c395b0b3924ffb12206939f33b01610c1ae955630d1.
على الرغم من أن المثبت يعرض واجهة Telegram Desktop 6.0.2 الأصلية، إلا أن الفحص الدقيق يكشف عن تناقضات ملحوظة. على سبيل المثال، يعود طابع وقت رأس الملف التنفيذي إلى عام 2019، بينما تم تقديمه لأول مرة على VirusTotal في أغسطس 2025، وهو فارق زمني غير معتاد.
آلية الدفاع وتجاوز الأمن
عند تشغيل المثبت، يقوم بإنشاء مجلد جديد باسم C:ProgramDataWindowsData، ويضع فيه ملفات أساسية، بما في ذلك نسخة معدلة من برنامج 7-Zip (funzip.exe) وأرشيف مشفر يبدو كملف main.xml.
بعد ذلك، تستخدم البرمجية الخبيثة PowerShell لإضافة استثناء شامل لبرنامج Microsoft Defender يغطي محرك الأقراص C: بأكمله، مما يعطل فعليًا الحماية من الفيروسات. يتم استخراج محتويات الأرشيف المشفر باستخدام كلمة مرور مدمجة، وهي: -phtLcENyRFYwXsHFnUnqK.
يؤدي استخراج الملفات إلى نشر برنامج men.exe، وهو المنسق الرئيسي الذي يقوم بجمع معلومات عن البيئة المستهدفة. يقوم هذا البرنامج بمسح العمليات الأمنية النشطة، بما في ذلك Microsoft Defender (MsMpEng.exe) ومنتجات الأمن الصينية مثل ZhuDongFangYu.exe و 360tray.exe.
تتضمن تقنيات التخفي والوصول المستمر إنشاء مهمة مجدولة تحمل اسم WindowsPowerShell.WbemScripting.SWbemLocator، والتي تم تصميمها لتقليد مكونات Windows الشرعية. تقوم هذه المهمة بتشغيل نص VBScript مشفر، والذي بدوره يطلق مؤشر (beacon) ValleyRat firmware، مما يضمن استمرار الوصول إلى النظام المخترق.
من المهم التنويه بأن هذه الحملة لا تقتصر على Telegram فقط، بل تشمل أيضًا مثبتات أخرى مثل WinSCP و Google Chrome و Microsoft Teams، مما يشير إلى نهج واسع النطاق في توزيع ValleyRat. ينصح المستخدمون بتوخي أقصى درجات الحذر عند تنزيل البرامج، والتأكد من مصدرها، واستخدام حلول أمنية محدثة.