كشف صيادو التهديدات عن ظهور نوع جديد من برمجية “تشاوس رات” (Chaos RAT) الخبيثة، التي تُستخدم للوصول عن بُعد إلى الأجهزة، حيث تم تسجيل هجمات حديثة تستهدف أنظمة تشغيل ويندوز ولينكس.
ووفقًا لشركة “أكرونيس” للأمن السيبراني، تم توزيع هذه البرمجية الخبيثة عن طريق خداع الضحايا لتحميل أداة مزيفة لاستكشاف أخطاء الشبكة وإصلاحها في بيئات لينكس.
وأوضح الباحثون الأمنيون سانتياجو بونتيولي، جابور مولنار، وكيريل أنتونينكو في تقرير مشترك مع “ذا هاكر نيوز”:
“تشاوس رات هي برمجية خبيثة مفتوحة المصدر مكتوبة بلغة جولانج (Golang)، وتدعم كلاً من أنظمة ويندوز ولينكس. مستوحاة من أطر عمل شهيرة مثل كوبالت ستريك (Cobalt Strike) وسليفر (Sliver)، توفر هذه البرمجية لوحة تحكم إدارية تمكن المهاجمين من بناء حمولات ضارة، وإنشاء جلسات تحكم، وإدارة الأجهزة المخترقة.”
كيفية عمل البرمجية الخبيثة
على الرغم من أن تطوير “أداة الإدارة عن بُعد” هذه بدأ في عام 2017، إلا أنها لم تجذب الانتباه إلا في ديسمبر 2022، عندما استُخدمت في حملة ضارة استهدفت تطبيقات ويب تعمل على أنظمة لينكس بهدف تعدين عملة مونيرو (XMRig) الرقمية.
بعد التثبيت، تتصل البرمجية الخبيثة بخادم خارجي وتنتظر أوامر تمكن المهاجم من:
-
تشغيل Reverse Shells
-
تحميل/تنزيل/حذف الملفات
-
استكشاف الملفات والمجلدات
-
التقاط لقطات الشاشة
-
جمع معلومات النظام
-
قفل/إعادة تشغيل/إيقاف الجهاز
-
فتح روابط عشوائية
أحدث إصدار من “تشاوس رات” هو 5.0.3، والذي صدر في 31 مايو 2024.
انتشار البرمجية عبر أدوات شبكة مزيفة
رصدت “أكرونيس” إصدارات لينكس من هذه البرمجية في البرية، غالبًا مرتبطة بحملات تعدين العملات الرقمية. وتُوزع البرمجية عبر:
-
رسائل التصيد الاحتيالي (Phishing Emails)
-
مرفقات أو روابط ضارة
تعمل هذه الملفات على تنزيل سكريبت خبيث يُعدل جدول المهام لتحميل البرمجية بشكل دوري، مما يضمن استمراريتها على الجهاز.
وأشار الباحثون:
“الحملات المبكرة استخدمت هذه التقنية لتوزيع برمجيات تعدين العملات الرقمية وبرمجية تشاوس رات بشكل منفصل، مما يشير إلى أن البرمجية استُخدمت في البداية لأغراض استطلاع وجمع المعلومات من الأجهزة المخترقة.”
ثغرات أمنية في لوحة تحكم تشاوس رات
كشف تحليل لعينة حديثة تم رفعها إلى “فايروس توتال” في يناير 2025 من الهند أن المهاجمين يخدعون المستخدمين عبر ترويج البرمجية على أنها أداة لاستكشاف أخطاء الشبكة.
كما اكتُشف أن لوحة التحكم الخاصة بالبرمجية تحتوي على ثغرة حقن أوامر (CVE-2024-30850، درجة خطورتها: 8.8)، يمكن استغلالها مع ثغرة Cross-Site Scripting (CVE-2024-31839، درجة خطورتها: 4.8) لتنفيذ أكواد خبيثة على الخادم بصلاحيات متقدمة. وقد تم إصلاح هاتين الثغرتين في مايو 2024.
استهداف محافظ Trust Wallet الرقمية
بالتزامن مع هذا الكشف، ظهرت حملة جديدة تستهدف مستخدمي Trust Wallet على أجهزة الكمبيوتر عبر نسخ مزيفة تُوزع عبر:
-
روابط تحميل خادعة
-
رسائل تصيد احتيالي
-
برمجيات مجمعة تحتوي على برمجيات خبيثة
تهدف هذه الحملة إلى:
-
سرقة بيانات الاعتماد من المتصفحات
-
استخراج البيانات من محافظ العملات الرقمية
-
تنفيذ أوامر خبيثة
-
مراقبة حافظة النسخ (Clipper Malware)
وحذر الباحث كيدار إس بانديت من “بوينت وايلد”:
“بعد التثبيت، يمكن للبرمجية الخبيثة مسح ملفات المحافظ، اعتراض بيانات الحافظة، أو مراقبة جلسات المتصفح لسرقة عبارات الاسترداد أو المفاتيح الخاصة.”
