في تطور جديد يسلط الضوء على خطورة أساليب التصيّد الإلكتروني، كشفت تقارير أمنية عن حملة تستهدف المستخدمين عبر رسائل بريد إلكتروني خبيثة تحمل مرفقات مضغوطة (ZIP) تتظاهر بأنها وثائق أعمال شرعية. هذه الرسائل ليست مجرد محاولة تقليدية لسرقة بيانات الدخول، بل تمثل سلسلة هجوم متقدمة تنتهي بزرع برمجية التحكم عن بُعد المعروفة باسم Remcos RAT بطريقة “عديمة الملفات”، أي من دون الاعتماد على تخزين ملف تنفيذي على القرص الصلب.
آلية الهجوم: من جافاسكريبت إلى PowerShell
عند فتح المرفق، يبدأ التنفيذ عبر كود جافاسكريبت مشفّر ومموّه يعمل كمنزّل أولي. هذا الكود يستدعي سكربت PowerShell من خادم بعيد، ليعمل بدوره كـ “محمل انعكاسي” يقوم بتحميل البرمجية الخبيثة مباشرة في الذاكرة. ما يميز هذا الأسلوب هو اعتماده على طبقات متعددة من الإخفاء، تشمل:
- ترميز Base64
- التلاعب بالبيانات الثنائية الخام
- تشفير XOR الدوراني
هذه التقنيات تجعل عملية التحليل والكشف أكثر تعقيداً، إذ يتم بناء الحمولة التنفيذية (.NET payload) وتشغيلها بالكامل داخل الذاكرة، بعيداً عن أعين أنظمة الحماية التقليدية التي تراقب الملفات المخزنة.
استغلال الثقة في العمليات الشرعية
جانب بالغ الأهمية في هذه الحملة هو استخدام ملفات النظام الموثوقة كوسيط لتنفيذ التعليمات الخبيثة، بحيث يظهر النشاط وكأنه صادر عن عمليات شرعية داخل النظام. هذا الأسلوب المعروف باسم “Living off the Land” يتيح للمهاجمين التمويه والاندماج داخل بيئة التشغيل الطبيعية، مما يقلل من فرص اكتشافهم عبر أدوات المراقبة الأمنية.
ديناميكية الحمولة وسيطرة الخادم البعيد
المرحلة الأخيرة من الهجوم تتمثل في جلب الحمولة النهائية لبرمجية Remcos RAT من خادم التحكم والسيطرة (C2). هذه الديناميكية تمنح المهاجمين القدرة على تغيير الحمولة في أي وقت، سواء لإضافة وظائف جديدة أو لتجاوز إجراءات الحماية التي قد يتم تطويرها لاحقاً. وبذلك، يصبح النظام المصاب تحت سيطرة كاملة، حيث يمكن للمهاجمين سرقة البيانات، تسجيل ضغطات لوحة المفاتيح، أو حتى التحكم المباشر بالجهاز.
