كشف باحثو Securonix Threat Research عن حملة برمجيات خبيثة جديدة تحمل اسم VOID#GEIST، تعتمد على سكربتات Batch كوسيلة لنشر برمجيات وصول عن بُعد (RATs) مثل XWorm وAsyncRAT وXeno RAT. الحملة تتميز ببنية متعددة المراحل، حيث يتم استخدام سكربتات مخفية وبيئة تشغيل Python شرعية لتشغيل شيفرات خبيثة مباشرة في الذاكرة عبر تقنية Early Bird APC Injection داخل عمليات explorer.exe.
آليات التنفيذ والتخفي
الهجوم يبدأ برسالة تصيد تحتوي على سكربت Batch يتم تنزيله من نطاق TryCloudflare. عند تشغيله، يعرض مستند PDF وهمي عبر متصفح Chrome لإلهاء الضحية، بينما ينفذ أوامر PowerShell في الخلفية لإعادة تشغيل السكربت الأصلي بشكل مخفي.
لضمان الاستمرارية، يتم وضع سكربت إضافي في مجلد Startup الخاص بالمستخدم، مما يسمح بتنفيذ البرمجية عند كل تسجيل دخول، دون الحاجة لتعديلات على النظام أو مهام مجدولة، وهو ما يقلل من البصمة الجنائية.
مراحل العدوى
بعد التثبيت الأولي، يتصل السكربت بخادم C2 للحصول على ملفات ZIP تحتوي على:
- runn.py: محمل مكتوب بلغة Python لفك تشفير الشيفرات الخبيثة وتشغيلها في الذاكرة.
- new.bin: حمولة مشفرة مرتبطة بـ XWorm.
- xn.bin: حمولة مشفرة مرتبطة بـ Xeno RAT.
- pul.bin: حمولة مشفرة مرتبطة بـ AsyncRAT.
- ملفات JSON تحتوي على مفاتيح فك التشفير.
يتم تنزيل بيئة تشغيل Python شرعية من python.org لضمان قابلية التشغيل حتى في الأجهزة التي لا تحتوي على Python مثبت مسبقاً، مما يمنح المهاجمين مرونة واستقلالية أكبر.
أهداف البرمجيات الخبيثة
- XWorm: يُحقن في الذاكرة عبر تقنية APC Injection.
- Xeno RAT: يتم تشغيله باستخدام ملف شرعي من مايكروسوفت (AppInstallerPythonRedirector.exe).
- AsyncRAT: يُنفذ بنفس آلية الحقن في عمليات المتصفح.
في النهاية، يرسل البرنامج إشارة HTTP بسيطة إلى خادم C2 لتأكيد الاختراق. الباحثون أشاروا إلى أن تكرار عمليات الحقن في explorer.exe خلال فترات زمنية قصيرة يُعد مؤشراً سلوكياً قوياً على وجود نشاط خبيث.
