عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج PureRAT الخبيث

برنامج PureRAT الخبيث

بواسطة Mezo في البرمجيات الخبيثة, أدوات الإدارة عن بعد
ترجمة الى:

كشف باحثو الأمن السيبراني عن حملة تصيد احتيالي واسعة النطاق تستهدف مؤسسات روسية، باستخدام برمجية خبيثة خلفية تُعرف باسم PureRAT. ورغم أن الحملة بدأت في مارس 2023، إلا أنها شهدت ارتفاعًا حادًا في أوائل عام 2025، مما أدى إلى تضاعف عدد الهجمات التي شُهدت خلال الفترة نفسها من عام 2024 أربع مرات. ورغم عدم تحديد جهة تهديد محددة، إلا أن الأساليب والبرمجيات الخبيثة المستخدمة تشير إلى عملية منسقة للغاية.

التسليم الخادع: تشريح الهجوم

يبدأ الهجوم برسالة بريد إلكتروني احتيالية تحتوي على أرشيف .RAR أو رابط تنزيل. يُخفي الأرشيف امتدادات مزدوجة مضللة (مثل doc_054_[redacted].pdf.rar)، ويتظاهر بأنه ملف Microsoft Word أو PDF. بمجرد أن يفتح الضحية الملف، يُشغّل ملف تنفيذي بداخله.

يؤدي هذا الملف القابل للتنفيذ العديد من الإجراءات الخفية:

  • ينسخ نفسه إلى %AppData% كملف task.exe
  • إنشاء البرنامج النصي Task.vbs في مجلد بدء التشغيل للاستمرار
  • استخراج وتشغيل ckcfb.exe

بدوره، يستخدم ckcfb.exe InstallUtil.exe لتشغيل وحدة مُفكَّكة التشفير. كما يفك تشفير Spydgozoi.dll ويُحمِّله، وهو الملف الذي يحتوي على حمولة PureRAT الأساسية.

التحكم عن بعد: ما يمكن لبرنامج PureRAT فعله

بعد تثبيته، يُنشئ PureRAT اتصالاً مشفرًا مع خادم الأوامر والتحكم (C2) ويُرسل معلومات النظام. بعد ذلك، يُمكنه استقبال وتنفيذ وحدات تالفة، مثل:

PluginPcOption

  • ينفذ الحذف الذاتي
  • إعادة تشغيل عمليات البرامج الضارة
  • يقوم بإيقاف تشغيل النظام أو إعادة تشغيله

إشعار نافذة المكونات الإضافية

  • يراقب النوافذ النشطة بحثًا عن الكلمات الرئيسية الحساسة (على سبيل المثال، كلمة المرور، البنك)
  • يمكن أن تبدأ إجراءات مثل تحويلات الأموال غير المصرح بها

برنامج PluginClipper

  • استبدال عناوين محفظة العملة المشفرة المنسوخة بعناوين أخرى يتحكم بها المهاجم

بالإضافة إلى ذلك، يوفر PureRAT للمهاجمين ما يلي:

  • تسجيل المفاتيح
  • التحكم في سطح المكتب عن بعد
  • الوصول إلى الملفات والسجل والكاميرا والميكروفون والعمليات الجارية

العدوى الطبقية: أكثر من مجرد PureRAT

يقوم الملف التنفيذي الأولي أيضًا باستخراج StilKrip.exe، وهو برنامج تنزيل تجاري يُعرف باسم PureCrypter، وهو متداول منذ عام ٢٠٢٢. تُكمل هذه الأداة تنزيل ملف ثانوي، Bghwwhmlr.wav، مما يُفعّل سلسلة تنفيذ جديدة. تُشغّل هذه السلسلة في النهاية Ttcxxewxtly.exe، مما يؤدي إلى تنشيط Bftvbho.dll، المكون الأساسي لسلالة خبيثة ثانية تُعرف باسم PureLogs.

يعمل PureLogs كأداة قوية لسرقة المعلومات. بمجرد تفعيله، يحصد بصمت مجموعة واسعة من البيانات الحساسة، بما في ذلك بيانات الاعتماد ومعلومات المستخدم من متصفحات الويب، وبرامج البريد الإلكتروني، وخدمات VPN، وتطبيقات المراسلة. كما يستهدف برامج إدارة كلمات المرور، وتطبيقات محافظ العملات المشفرة، وأدوات نقل الملفات الشائعة مثل FileZilla وWinSCP، مما يمنح المهاجمين وصولاً عميقًا إلى البيانات الشخصية والمؤسسية.

النتيجة: البريد الإلكتروني لا يزال الحلقة الأضعف

يوفر الجمع بين PureRAT وPureLogs لمجرمي الإنترنت قدرات واسعة للتجسس على الأنظمة المخترقة وجمع المعلومات والتحكم فيها. ولا يزال الاستخدام المستمر لرسائل التصيد الاحتيالي التي تحتوي على مرفقات أو روابط ضارة يُمثل نقطة الدخول الرئيسية، مما يُبرز الحاجة المُلحة لفلترة البريد الإلكتروني بشكل فعّال وزيادة وعي المستخدمين بدفاعات الأمن السيبراني في المؤسسات.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
33,436
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...