برز برمجية الفدية الخبيثة المعروفة باسم CastleRAT كتهديد متزايد الأنظمة الويندوز حول العالم. تم رصد هذه البرمجية الخبيثة لأول مرة حول مارس 2025، وهي تمنح المهاجمين القدرة على التحكم الكامل عن بعد في الأجهزة المخترقة.
يأتي هذا التهديد في نسختين رئيسيتين: نسخة خفيفة مكتوبة بلغة بايثون، ونسخة أخرى أقوى مكتوبة بلغة سي ومترجمة. النسخة الثانية توفر قدرات متقدمة تشمل التقاط ضغطات المفاتيح، وأخذ لقطات للشاشة، وطرق تثبيت مستمرة.
CastleRAT: تهديد جديد يستهدف أنظمة ويندوز
تتواصل برمجية CastleRAT الخبيثة مع خادم القيادة والتحكم الخاص بها باستخدام تشفير RC4 بمفتاح ثابت. بمجرد نشرها، تقوم البرمجية الخبيثة بجمع معلومات النظام مثل اسم الكمبيوتر، اسم المستخدم، معرف الجهاز، عنوان IP العام، وتفاصيل المنتج، ثم ترسل هذه البيانات إلى المهاجم.
يتلقى الجهاز المصاب تعليمات وأدوات إضافية من خادم القيادة والتحكم، مما يسمح للمهاجم بتنفيذ الأوامر عن بعد. وقد حدد باحثو الأمن في “سبلانك” أن CastleRAT تستخدم تقنيات متطورة متعددة تتوافق مع إطار عمل MITRE ATT&CK.
جمع معلومات الحافظة وتسللها
تشمل إحدى التقنيات الملحوظة جمع بيانات الحافظة. تقوم CastleRAT بتشغيل خيوط متعددة داخل عمليتها، حيث يقوم كل خيط بتنفيذ أنشطة خبيثة مختلفة. يستهدف خيط جمع الحافظة المستخدمين الذين ينسخون بيانات الاعتماد أو عناوين العملات المشفرة بشكل متكرر، مما يجعل هذه الطريقة فعالة لجمع معلومات حساسة مثل أسماء المستخدمين وكلمات المرور وسلاسل المحافظ.
تقوم البرمجية الخبيثة باعتراض الحافظة ومحاكاة إجراءات اللصق لتسلل البيانات بشفافية. بدلاً من فتح مآخذ الشبكة أو استدعاء واجهات برمجة التطبيقات الشبكية الواضحة، تقوم CastleRAT بنسخ المعلومات التي تم جمعها إلى الحافظة ثم تستدعي الدالة SendInput() للصق البيانات في تطبيقات تبدو عادية.
هذه التقنية تقلل من الآثار الشبكية المزعجة وتدمج عملية تسلل البيانات مع نشاط المستخدم العادي، مما يعقد جهود الكشف. يجب على المؤسسات مراقبة الاتصالات الصادرة غير العادية، وتنزيلات PowerShell ذات السطر الواحد، والملفات التنفيذية غير المتوقعة في مجلدات المستخدمين، وعلامات وجود حركة المرور المشفرة بـ RC4 للكشف عن هذا التهديد.