حذرت شركة Kaspersky من حملة جديدة يقودها مهاجمون سيبرانيون تستهدف المهنيين المبتدئين والطلاب في مجال الأمن المعلوماتي عبر مستودعات مزيفة تحتوي على أدلة إثبات المفهوم (PoC) لثغرات أمنية مثل CVE-2025-59295 وCVE-2025-10294 وCVE-2025-59230. هذه المستودعات تبدو في ظاهرها احترافية، حيث تتضمن شروحاً مفصلة عن الثغرات، تأثيرها على الأنظمة، خطوات التثبيت والاستخدام، وحتى نصائح للتخفيف، ما يمنحها مصداقية زائفة ويجعلها جذابة للباحثين غير المتمرسين.
آلية الخداع عبر ملفات ZIP
داخل هذه المستودعات يتم تضمين ملف مضغوط (ZIP) يحتوي على برنامج تنفيذي باسم rasmanesc.exe. هذا الملف قادر على تصعيد الامتيازات، تعطيل برنامج Microsoft Defender، وجلب برمجية WebRAT من خادم خارجي. بمجرد تثبيت WebRAT، يصبح الجهاز تحت سيطرة المهاجمين، الذين يمكنهم تنفيذ أوامر عن بُعد وسرقة بيانات حساسة.
قدرات WebRAT التجسسية
تُعد WebRAT بمثابة باب خلفي متكامل، إذ تتيح للمهاجمين الوصول إلى محافظ العملات الرقمية، وحسابات Telegram وDiscord وSteam. كما تمتلك وظائف تجسسية متقدمة مثل تسجيل الشاشة، مراقبة المستخدم عبر الكاميرا والميكروفون، وتسجيل ضغطات لوحة المفاتيح (Keylogging). هذه القدرات تجعلها أداة خطيرة يمكن استخدامها في التجسس، سرقة البيانات، أو حتى السيطرة الكاملة على الأنظمة المستهدفة.
خلفية على مطوري البرمجية
تُباع WebRAT من قبل مجموعة NyashTeam، وهي نفس الجهة التي تروّج لبرمجية أخرى تدعى DCRat. هذا يعكس نشاطاً منظماً في سوق البرمجيات الخبيثة، حيث يتم تطوير أدوات متعددة تستهدف مختلف المنصات والقطاعات. اعتماد المهاجمين على مستودعات مزيفة يبرز اتجاهاً جديداً في استغلال فضول الباحثين المبتدئين، الذين غالباً ما يبحثون عن PoC لتجربة الثغرات، ليجدوا أنفسهم ضحايا لبرمجيات تجسس متقدمة.
