رصد باحثو الأمن السيبراني خلال الفترة الأخيرة موجة لافتة من البرامج الخبيثة المتطورة المعروفة بـ”أحصنة الوصول عن بُعد” أو RATs، تكشف عن تصاعد ملحوظ في أساليب المهاجمين وتنوع أدواتهم. وتتميز هذه البرامج بقدرتها على التسلل الصامت إلى الأجهزة المصابة، وفتح أبواب خلفية تتيح للمهاجمين التحكم الكامل في الأنظمة عن بُعد، وسرقة البيانات الحساسة، وتنفيذ أوامر خبيثة دون علم الضحية.
وقد نبّهت شركة “بوينت وايلد” المتخصصة في الأمن السيبراني إلى أن هذه الأدوات باتت تعمل بـ”بصمة كشف منخفضة للغاية”، مما يعني أن أنظمة الحماية التقليدية تعجز في أغلب الأحيان عن اصطيادها، وهو ما يجعل التعرف عليها ومتابعة تطورها أمراً بالغ الأهمية للمؤسسات والأفراد على حد سواء.
FileZilla مطية للاختراق.. حصان طروادة STX يقتحم الأجهزة عبر مثبّت مزيّف
أحد أخطر الاكتشافات الأخيرة يتمثل في توظيف نسخ مخترقة من مثبّت برنامج FileZilla الشهير لنقل الملفات عبر بروتوكول FTP، وهو برنامج مشروع تثق به ملايين المستخدمين حول العالم. وقد اكتشف الباحثون أن مجرمي الإنترنت يُعيدون تعبئة هذا المثبّت مدسوسين فيه برنامج STX RAT، وهو حصان طروادة متعدد القدرات يجمع بين الوصول عن بُعد وسرقة المعلومات الحساسة.
والخطورة الكامنة في هذا الأسلوب تكمن في أن المستخدم يحصل فعلاً على نسخة تعمل من FileZilla، مما يوهمه بأن التثبيت سار بشكل طبيعي، في حين يعمل STX RAT في الخلفية في صمت تام. ويُذكّر هذا الأسلوب بظاهرة “التروجنة” الواسعة الانتشار التي تستغل ثقة المستخدمين في البرامج المشهورة لتمرير حمولات خبيثة.
DesckVB وResokerRAT.. أحصنة طروادة تتخفى في JavaScript وتلجأ إلى Telegram
لا يقل حصان طروادة DesckVB RAT خطورةً عن سابقه، إذ يعتمد في بنيته على لغة JavaScript التي تجعله أكثر مرونة وأصعب رصداً. ويعمل هذا الحصان وفق سلسلة هجوم متعددة المراحل: يبدأ بنشر حمولة PowerShell، تقوم بدورها بتحميل أداة تحميل مبنية على إطار NET. مباشرةً في الذاكرة العشوائية دون كتابة أي ملف على القرص الصلب، وهو ما يُعرف بأسلوب “الهجوم بلا ملفات” الذي يُفشل كثيراً من أدوات الكشف التقليدية التي تعتمد على مسح الملفات.
وبمجرد تفعيله، يُنشئ DesckVB قناة اتصال مع خادم التحكم والسيطرة C2، مما يمنح المهاجمين سيطرة شاملة على الجهاز المخترق، وقدرة على سرقة البيانات وتنفيذ أوامر متنوعة.
أما ResokerRAT فيسلك مساراً مختلفاً في التواصل مع مشغليه؛ إذ يعتمد على تطبيق تيليغرام بوصفه خادم تحكم وسيطرة، وهو أسلوب يكتسب رواجاً متزايداً في أوساط مجرمي الإنترنت لأنه يُخفي حركة الاتصال الخبيثة وسط ملايين اتصالات تيليغرام المشروعة يومياً، مما يجعل رصده أمراً عسيراً على أنظمة جدران الحماية التقليدية.
CrystalX وRetroRAT وCrySome.. ترسانة متكاملة من الأدوات الخبيثة المتطورة
تكشف قائمة البرامج الخبيثة المكتشفة حديثاً عن عمق التخصص الذي بلغته صناعة الجرائم الإلكترونية. فـCrystalX أو WebCrystal RAT ليس مجرد برنامج خبيث عادي، بل هو خدمة متكاملة تُقدَّم وفق نموذج “البرمجيات الخبيثة كخدمة” MaaS، ويُروَّج لها عبر قنوات تيليغرام ويوتيوب، وهو ما يعكس جرأة متصاعدة لدى مطوري البرامج الخبيثة في التسويق العلني لأدواتهم. ويتمتع هذا البرنامج بقدرات شاملة تضم الوصول عن بُعد وسرقة البيانات وتسجيل نقرات لوحة المفاتيح وأدوات التجسس وخاصية “كليبر” لاختطاف بيانات المحافظ الرقمية للعملات المشفرة.
وفي السياق ذاته، يعمل RetroRAT ضمن حملة منظمة تحمل اسم “Operation DualScript”، ويُوزَّع عبر أدوات تحميل PowerShell وNET.، ويختص بمراقبة الأنظمة وتتبع النشاط المالي واختطاف الحافظة لتحويل معاملات العملات المشفرة إلى محافظ المهاجمين دون علم الضحية.
أما أكثر هذه الأدوات إثارةً للقلق فهو CrySome، المبني بلغة #C، الذي يتبنى معمارية هجومية متكاملة لا تكتفي بتوفير الوصول عن بُعد، بل تتضمن آليات متطورة للثبات على الجهاز المصاب حتى بعد إعادة التشغيل، وقدرة على تعطيل برامج مكافحة الفيروسات، فضلاً عن استغلال قسم الاسترداد في الجهاز وتعديل سجل النظام في وضع عدم الاتصال لضمان صعوبة إزالته حتى من قِبل متخصصي الأمن.
