كشفت شركة كاسبرسكي للأمن السيبراني عن موجة هجمات متصاعدة تستخدم برمجية خبيثة تسمى PureRAT، حيث زادت الهجمات 4 أضعاف في الربع الأول من ٢٠٢٥ مقارنة بنفس الفترة من ٢٠٢٤.
آلية عمل الهجوم:
١. بداية الهجوم:
-
تبدأ الحملة برسائل تصيد تحتوي على:
-
مرفقات ملفات RAR
-
روابط لملفات أرشيفية
-
-
تستخدم الملفات امتدادات مزدوجة مثل (“doc_054_[redacted].pdf.rar”) لخداع الضحايا
٢. مرحلة التنفيذ:
-
عند فتح الملف، يتم نسخ ملف تنفيذي باسم “task.exe” إلى مجلد “%AppData%”
-
إنشاء سكريبت Visual Basic باسم “Task.vbs” في مجلد Startup
-
يتم فك تشفير وتنفيذ ملف “ckcfb.exe” الذي يحقن حمولة خبيثة في عملية نظام شرعية
قدرات برمجية PureRAT الخبيثة:
الوصول والتحكم:
-
إنشاء اتصالات SSL مع خوادم التحكم (C2)
-
جمع معلومات النظام بما في ذلك:
-
برامج مكافحة الفيروسات المثبتة
-
اسم الجهاز
-
وقت تشغيل النظام
-
الوحدات الخبيثة:
-
PluginPcOption: تنفيذ أوامر ذاتية مثل:
-
حذف الملفات
-
إعادة تشغيل النظام
-
إيقاف التشغيل
-
-
PluginWindowNotify: مراقبة النوافذ النشطة للكشف عن:
-
كلمات مثل “بنك” أو “كلمة سر”
-
تنفيذ عمليات تحويل أموال غير مصرح بها
-
-
PluginClipper: استبدال عناوين محافظ العملات الرقمية في الحافظة بعناوين يتحكم بها المهاجمون
برمجية PureLogs المسروقة:
آلية العمل:
-
يتم تنزيلها عبر ملف “StilKrip.exe” (المعروف باسم PureCrypter)
-
تتبع سلسلة هجوم معقدة للوصول إلى ملف “Ttcxxewxtly.exe”
-
تقوم بفك تشفير وتشغيل ملف DLL يحمل اسم PureLogs (“Bftvbho.dll”)
البيانات المسروقة:
-
معلومات المتصفحات
-
بيانات عملاء البريد الإلكتروني
-
تطبيقات المراسلة
-
ملحقات متصفح المحافظ الرقمية
-
مديري كلمات السر
-
تطبيقات مثل FileZilla وWinSCP
نصائح أمنية للوقاية:
✅ توخي الحذر من المرفقات والروابط في رسائل البريد الإلكتروني غير المتوقعة
✅ تحديث برامج مكافحة الفيروسات بانتظام
✅ استخدام حلول أمنية متقدمة لاكتشاف التهديدات
✅ تدريب الموظفين على التعرف على محاولات التصيد
