رصد باحثو الأمن السيبراني حملة malspam جديدة تستخدم نطاق Google DoubleClick كوسيلة للتمويه وتجاوز أنظمة الكشف، بهدف نشر حصان طروادة للتحكم عن بُعد يعرف باسم DesckVB RAT.
وفقًا لتقرير فريق Huntress، يتم تمرير الضحية أولًا عبر نطاق DoubleClick الشرعي، مما يقلل احتمالية اعتباره مشبوهًا من قبل أدوات الحماية، قبل أن يتم توجيهه إلى بنية خبيثة ديناميكية تستغل عنوان البريد الإلكتروني للضحية لعرض صفحة مزيفة تحمل شعار الشركة ومعلومات الموقع، ما يجعلها أكثر إقناعًا.
سلسلة العدوى الخبيثة
- يبدأ الهجوم عند فتح ملف HTML مرفق برسالة تصيّد، حيث يُفعّل إعادة توجيه عبر meta-refresh إلى رابط DoubleClick.
- يتم فك ترميز البريد الإلكتروني عبر Base64 لتخصيص صفحة هبوط تعرض زر “Download PDF”.
- عند النقر، يتم تنزيل أرشيف ZIP يحتوي على JavaScript loader، الذي يستخرج ويشغّل سكربت PowerShell لجلب محمل .NET من خادم خارجي.
- المحمل يتحقق من بيئة التشغيل، يعطل أدوات الحماية، يثبت الاستمرارية، ثم ينفذ الحمولة النهائية عبر تقنية process hollowing بحقن البرمجية داخل عمليات موقعة من مايكروسوفت.
قدرات DesckVB RAT
بمجرد التشغيل، يتصل RAT بخادم القيادة والسيطرة عبر TCP sockets، ويقوم بـ:
- جمع معلومات النظام وإعداد استثناءات في Microsoft Defender.
- تعطيل واجهة AMSI وتتبع الأحداث ETW لإخفاء نشاطه.
- إنشاء مفاتيح تشغيل تلقائي في السجل ووضع محمل في مجلد Startup لضمان الاستمرارية.
- تنفيذ أوامر، استخراج بيانات، ونشر حمولة إضافية، مع القدرة على إنهاء أو إعادة تشغيل الجهاز إذا اكتشف أدوات تحليل أو بيئة معزولة.
توصيات دفاعية
- تطبيق الدفاع متعدد الطبقات: فرض سياسة عبر Active Directory لفتح ملفات السكربت (.vbs, .hta, .js) في Notepad افتراضيًا، مما يوقف السلسلة عند بدايتها.
- تعزيز أمن البريد الإلكتروني: نشر سجلات DMARC وDKIM وSPF لتقليل احتمالية وصول رسائل مزيفة.
- استخدام بوابات البريد الذكية: تفعيل حلول قادرة على تحليل المرفقات والروابط في بيئة معزولة قبل تسليمها للمستخدمين.
هذه الحملة تؤكد أن المهاجمين يواصلون استغلال البنى الشرعية مثل نطاقات جوجل لتضليل أنظمة الحماية، وأن الدفاع الفعّال يتطلب رؤية شاملة تبدأ من البريد الإلكتروني وصولًا إلى إعدادات النظام.
