حملة تصيّد جديدة تستغل مستندات الشحن لنشر برمجية Remcos RAT

كشفت شركة الأمن السيبراني Fortinet عن حملة تصيّد إلكتروني جديدة تستغل مستندات شحن مزيفة كوسيلة للإيقاع بالضحايا. يقوم المهاجمون بإرسال ملفات Microsoft Word تبدو في ظاهرها وثائق شحن رسمية، لكنها في الحقيقة تحمل شيفرة خبيثة تستغل ثغرة قديمة في برنامج أوفيس تحمل الرمز CVE-2017-11882. هذه الثغرة، رغم مرور سنوات على اكتشافها، ما زالت تُستخدم بكثافة من قبل المهاجمين الذين يستهدفون المؤسسات والأفراد الذين لم يقوموا بتحديث أنظمتهم أو تثبيت التصحيحات الأمنية اللازمة.

آلية الاستغلال وتنفيذ البرمجية الخبيثة

بمجرد فتح المستند المزيف، يتم تشغيل استغلال الثغرة الذي يؤدي إلى تنزيل Visual Basic Script، والذي بدوره ينفذ شيفرة PowerShell مشفرة بصيغة Base64. هذه الشيفرة مسؤولة عن تنزيل وتشغيل وحدة تحميل DLL مكتوبة بلغة .NET، تعمل على إطلاق نسخة جديدة من برمجية Remcos RAT مباشرة في الذاكرة، مع إنشاء مهام مجدولة لضمان استمرار وجودها في النظام حتى بعد إعادة التشغيل.

هذا الأسلوب يعكس تطورًا في تقنيات الهجوم، حيث يسعى المهاجمون إلى تجنب الكشف عبر برامج مكافحة الفيروسات التقليدية من خلال تنفيذ البرمجية في الذاكرة بدلًا من تخزينها على القرص الصلب.

قدرات Remcos RAT الإصدار 7.0.4 Pro

برمجية Remcos RAT ليست جديدة في عالم البرمجيات الخبيثة، فهي أداة جاهزة ومتاحة في الأسواق السوداء الإلكترونية، يستخدمها المهاجمون لتنفيذ مجموعة واسعة من الأنشطة الضارة. الإصدار الأخير 7.0.4 Pro يتميز بقدرات متقدمة تشمل:

إدارة النظام والتحكم الكامل في الجهاز المصاب.
مراقبة الشاشة والتجسس على أنشطة المستخدم.
التحكم في الشبكات والاتصالات.
جمع البيانات الحساسة من الملفات والتطبيقات.
تشغيل أوامر عن بُعد عبر واجهة تحكم مركزية.

هذه القدرات تجعل من Remcos RAT أداة خطيرة يمكن استخدامها في التجسس، سرقة البيانات، أو حتى شن هجمات أوسع على شبكات المؤسسات.

تداعيات أمنية وتحذيرات للمؤسسات

تؤكد هذه الحملة أن الثغرات القديمة لا تزال تشكل تهديدًا كبيرًا إذا لم يتم التعامل معها بجدية. فالمهاجمون يستغلون الإهمال في تحديث الأنظمة ليشنوا هجمات معقدة تستهدف قطاعات مختلفة، بما في ذلك الخدمات اللوجستية والشركات المرتبطة بسلاسل التوريد.

ينصح الخبراء المؤسسات بضرورة: