كشفت شركة Kaspersky عن حملة سيبرانية جديدة تستهدف المؤسسات المالية مثل شركات التداول والوساطة من خلال نشر حصان طروادة جديد لم يتم الإبلاغ عنه سابقًا، أُطلق عليه اسم GodRAT.
أسلوب الهجوم وتوزيع البرمجية الضارة
وفقًا للتحليل الفني، يعتمد المهاجمون على توزيع ملفات .SCR (شاشات توقف) متنكرة في هيئة مستندات مالية عبر تطبيق Skype، حيث يتم استخدام تقنية الإخفاء الرقمي (Steganography) لإخفاء شيفرات برمجية داخل ملفات صور، تعمل على تنزيل البرمجية الضارة من خادم التحكم والسيطرة (C2).
وقد تم رصد هذه الملفات منذ سبتمبر 2024 في عدة مناطق بينها هونغ كونغ، الإمارات العربية المتحدة، لبنان، ماليزيا، والأردن، بينما سُجلت أحدث الهجمات في 12 أغسطس 2025.
GodRAT قائم على Gh0st RAT
يُعتقد أن GodRAT يعتمد على قاعدة برمجية مستمدة من Gh0st RAT، ويستخدم نهجًا قائمًا على الإضافات لتعزيز وظائفه، بما في ذلك سرقة المعلومات الحساسة ونشر برمجيات إضافية مثل AsyncRAT. وتجدر الإشارة إلى أن كود Gh0st RAT تسرب للعامة منذ عام 2008، وتبنته لاحقًا عدة مجموعات قرصنة صينية.
وتشير Kaspersky إلى أن GodRAT يُعد تطورًا لبرمجية خلفية أخرى مستندة إلى Gh0st RAT عُرفت باسم AwesomePuppet التي وثّقت لأول مرة عام 2023، ويُرجح ارتباطها بجهة التهديد الصينية الشهيرة Winnti (APT41).
آلية التنفيذ وجمع البيانات
تعمل ملفات شاشة التوقف كحزم تنفيذية ذاتية الاستخراج تحتوي على ملفات مضمنة، أبرزها مكتبة DLL خبيثة يتم تحميلها عبر ملف شرعي. وتقوم الـ DLL باستخراج شيفرة خبيثة مخفية داخل صورة .JPG، لتُمكّن في النهاية من نشر GodRAT.
يقوم حصان طروادة الجديد بالاتصال بخادم C2 عبر بروتوكول TCP، وجمع معلومات النظام، بما في ذلك قائمة برامج الحماية المثبتة، ثم إرسالها إلى الخادم الذي يرد بأوامر مختلفة مثل:
-
حقن مكونات DLL إضافية في الذاكرة
-
إغلاق الاتصال وإنهاء العملية
-
تنزيل ملفات إضافية وتشغيلها عبر CreateProcessA API
-
فتح روابط عبر Internet Explorer
وظائف إضافية وسرقة كلمات المرور
أحد المكونات الإضافية التي يتم تنزيلها هو FileManager DLL الذي يمكنه استعراض النظام وتنفيذ عمليات على الملفات والبحث عنها. كما يُستخدم لتوزيع حمولات إضافية مثل أداة لسرقة كلمات المرور من متصفحي Google Chrome وMicrosoft Edge، إضافة إلى نشر AsyncRAT.
البنية البرمجية وتسرب الكود
أوضحت Kaspersky أنها عثرت على الكود المصدري الكامل لـ GodRAT (العميل وأداة البناء) بعد رفعه على خدمة VirusTotal في يوليو 2024. وتتيح أداة البناء إنشاء ملفات تنفيذية أو DLL مع خيار اختيار ملفات نظام مشروعة مثل: svchost.exe، cmd.exe، cscript.exe، curl.exe، wscript.exe، QQMusic.exe، وQQScLauncher.exe، كما يمكن حفظ الحمولة النهائية بصيغ متعددة منها .exe، .com، .bat، .scr، .pif.
استمرارية الأكواد القديمة في الهجمات السيبرانية
أكدت Kaspersky أن الأكواد القديمة مثل Gh0st RAT، والتي تعود إلى نحو عقدين، ما زالت مستخدمة حتى اليوم بعد تعديلها وتطويرها لاستهداف ضحايا جدد. واكتشاف GodRAT دليل على أن قواعد البرمجيات الخبيثة القديمة لا تزال قادرة على البقاء ضمن مشهد التهديدات السيبرانية العالمي.
