كشفت الأبحاث الأمنية عن حملة برمجيات خبيثة جديدة ومتطورة تستخدم تقنيات متعددة المراحل لنشر أداة الوصول عن بعد NetSupport RAT، مما يمنح المهاجمين سيطرة كاملة على أجهزة الضحايا. تعتمد هذه الحملة على تقنيات إخفاء متقدمة تتضمن توجيهات الويب المخفية وترميز معقد.
تبدأ الهجمة بتسلسل من ثلاث مراحل، حيث يتم حقن حمولة أولية عبارة عن JavaScript Loader في مواقع ويب مخترقة. تعمل هذه الحمولة المخفية على تنزيل ملف HTA (HTML Application) يتم تشغيله باستخدام PowerShell المشفر عبر أداة النظام الشرعية mshta.exe.
تستهدف المرحلة النهائية تنزيل وتثبيت أداة NetSupport RAT، والتي تتيح للمهاجمين التحكم التام في أنظمة الضحايا، بما في ذلك التحكم في سطح المكتب، وتنفيذ الأوامر، وسرقة البيانات.
حملة برمجيات خبيثة جديدة تستهدف السيطرة الكاملة على الأنظمة
تمكن باحثون في شركة Securonix من تحديد هذه الحملة، وأشاروا إلى أنها تستخدم طبقات متعددة من التشفير والترميز (Obfuscation) لإخفاء الكود الخبيث، مثل استخدام خرائط الفهرس الرقمي والمصفوفات الدوارة. تستخدم هذه التقنيات لإفلات من برامج الحماية والأمن السيبراني.
من جهة أخرى، تقوم الحملة بفحص نوع الجهاز الذي يستخدمه الضحية، وتعمل على تقديم حمولات مختلفة لأجهزة الهواتف المحمولة مقارنة بأجهزة سطح المكتب. هذا التخصيص يزيد من فعالية الهجوم وفرص نجاحه.
يُلاحظ أن إطار العمل المستخدم في هذه البرمجيات الخبيثة يتم تحديثه وصيانته بشكل مستمر، مما يجعله أكثر قدرة على البقاء مخفياً وغير مكتشف في الأنظمة المصابة. هذا يشير إلى جهود متواصلة من قبل المهاجمين لتحسين أدواتهم.
آلية الهجوم والإصابة
بمجرد تشغيل JavaScript loader في متصفح الضحية، يقوم بإنشاء مصفوفات دوارة من النصوص المشفرة وينتظر تحميل الصفحة بالكامل. بعد ذلك، يتحقق من نوع الجهاز، ثم ينشئ iframe بملء الشاشة مخفياً لأجهزة الجوال، أو يقوم بتحميل سكربت عن بعد لأنظمة سطح المكتب.
بالإضافة إلى ذلك، يستخدم الـ loader مساحة التخزين المحلية للمتصفح لتتبع ما إذا كان النظام قد تمت إصابته بالفعل. هذا يضمن تشغيل الهجوم مرة واحدة فقط، مما يقلل من احتمالية الكشف. تسمح هذه الإجراءات للمهاجمين ببناء عناوين ويب خبيثة ديناميكيًا وجلب المرحلة التالية من الهجوم من نطاقات يتحكمون فيها.
تصل المرحلة الثانية في شكل ملف HTA، والذي يتم تشغيله عبر mshta.exe، وهو برنامج ويندوز شرعي غالباً ما يتم إساءة استخدامه من قبل المهاجمين. يعمل ملف HTA هذا بشكل مخفي تمامًا، حيث يقوم بكتابة سكربت PowerShell مشفر إلى المجلد المؤقت لجهاز الكمبيوتر.
يستخدم السكربت تشفير AES-256-ECB، وتشفير Base64، وضغط GZIP لإخفاء الغرض الحقيقي منه. بمجرد إزالة طبقات التشفير، يتم تنفيذ الحمولة مباشرة في ذاكرة الكمبيوتر دون كتابة ملفات على القرص، مما يجعل اكتشافه صعبًا جدًا على برامج مكافحة الفيروسات.
بعد التنفيذ، يقوم السكربت بحذف ملفاته المؤقتة لإخفاء آثار الهجوم. تقوم حمولة PowerShell النهائية بتنزيل ملف ZIP يحتوي على مكونات NetSupport RAT من خادم يتحكم فيه المهاجم.
بعد تنزيل الأرشيف، يقوم السكربت بفك ضغطه في مجلد باسم CommunicationLayer تحت ProgramData، وهو موقع يبدو غير ضار ويمتزج مع التطبيقات المشروعة. تقوم البرمجيات الخبيثة بتشغيل ملف client32.exe المستخرج باستخدام غلاف JScript مخفي لإخفاء سلسلة التنفيذ.
للحفاظ على الوصول طويل الأمد، يتم إنشاء ملف اختصار يسمى WindowsUpdate.lnk في مجلد Startup. يضمن هذا الاختصار تشغيل أداة الوصول عن بعد تلقائيًا كلما قام الضحية بتسجيل الدخول إلى جهازه، مما يمنح المهاجمين تحكمًا مستمرًا.
توفر NetSupport RAT وصولاً كاملاً عن بعد إلى النظام المصاب، بما في ذلك التحكم في سطح المكتب، وعمليات الملفات، وتنفيذ الأوامر، وسرقة البيانات، وأنفاق البيانات. تتجنب البرمجيات الخبيثة الحاجة إلى صلاحيات المسؤول عن طريق التثبيت على مستوى المستخدم واستخدام أسماء خادعة للاندماج مع مكونات ويندوز المشروعة.
يجب على المؤسسات تعزيز دفاعاتها عن طريق حظر البرامج النصية غير الموثوق بها، وتمكين تسجيل PowerShell، وتقييد تنفيذ mshta.exe، ونشر أدوات الكشف السلوكية التي يمكنها تحديد سلاسل العمليات المشبوهة وتقنيات التنفيذ غير الملفية.