كشف باحثو الأمن السيبراني عن حملة تصيّد متطورة توزع برمجية مصرفية خفية تحولت إلى حصان طروادة للتحكم عن بُعد تُعرف باسم MostereRAT.
وتعتمد الهجمة على تقنيات مراوغة متقدمة، أبرزها تطوير الحمولة الخبيثة باستخدام لغة البرمجة السهلة (EPL) لإخفاء الأنشطة وتعطيل أدوات الحماية، وتأمين الاتصال بخوادم التحكم عبر mTLS، بالإضافة إلى نشر مكونات إضافية وتثبيت أدوات وصول عن بُعد شائعة مثل AnyDesk وTigerVNC.
وتستهدف رسائل البريد الإلكتروني المضللة بالدرجة الأولى المستخدمين اليابانيين عبر مستندات “وورد” ملغمة بملفات ZIP، تؤدي إلى تثبيت البرمجية التي تُعطل آليات الأمان في ويندوز وتمنع الاتصال بعناوين مرتبطة ببرامج الحماية، على غرار أسلوب أداة الاختبار EDRSilencer.
قدرات واسعة للتجسس والتحكم
يمتلك MostereRAT قدرات واسعة تشمل العمل بحساب TrustedInstaller بصلاحيات مرتفعة، مراقبة أنشطة نافذة برنامج Qianniu الخاص ببائعي “علي بابا”، تسجيل ضغطات المفاتيح، جمع تفاصيل الجهاز، تشغيل برمجيات DLL وEXE، تحميل shellcode، التلاعب بالملفات، تنفيذ Early Bird Injection، التقاط لقطات شاشة، تسهيل تسجيل الدخول عبر RDP، وحتى إضافة مستخدم مخفي إلى مجموعة المسؤولين.
ويحذر خبراء Fortinet من أن هذه الأساليب ترفع مستوى التعقيد أمام الاكتشاف والتحليل، مؤكدين أن التوعية بمخاطر الهندسة الاجتماعية لا تقل أهمية عن تحديث الحلول الأمنية.
خدع ClickFix تتجدد مع MetaStealer
بالتوازي، رُصدت حملة أخرى تستخدم تقنيات شبيهة بـ ClickFix لتوزيع برمجية MetaStealer عبر انتحال صفحات “Cloudflare Turnstile” الوهمية التي تطلب من الضحايا تفاعلاً يدويًا، مثل فتح “File Explorer”، ليتم عبر بروتوكول search-ms: تمرير ملف LNK مموه كملف PDF، ينتهي بتنزيل MetaStealer.
وترى شركة Huntress أن هذا النوع من الهجمات ينجح لأنه يوهم الضحية بأنه يُصلح الخلل بنفسه، ما يجعله يتجاوز بعض أنظمة الحماية التقليدية.
استغلال الذكاء الاصطناعي عبر “Prompt Overdose”
في تطور مقلق، كشفت CloudSEK عن نسخة جديدة من أسلوب ClickFix تستخدم إخفاءً قائمًا على CSS لزرع تعليمات خبيثة داخل ملخصات تُنتجها أنظمة ذكاء اصطناعي.
ويعتمد هذا الهجوم، المعروف باسم Prompt Overdose، على إغراق نافذة السياق الخاصة بالنموذج بمحتوى مكرر عالي الكثافة بحيث يُقصى السياق الأصلي، ويتم توجيه المخرجات نحو نص يسيطر عليه المهاجم.
ويحذر الباحثون من أن استغلال الملخصات المدمجة في تطبيقات البريد الإلكتروني والمتصفحات وأدوات الإنتاجية يمكن أن يُحوّل الذكاء الاصطناعي ذاته إلى قناة لتمرير تعليمات خفية تؤدي في النهاية إلى نشر برمجيات الفدية.
