في عالم متسارع من التهديدات السيبرانية، ظهر تهديد جديد يستهدف مستخدمي متصفح جوجل كروم (Google Chrome) من خلال مواقع وهمية. يُستخدم هذا التهديد لنشر مُثبّتات خبيثة تُعرف باسم “فالي رات” (ValleyRAT)، وهي برمجية خبيثة تُصنّف ضمن برامج التحكم عن بعد (Remote Access Trojan).

تحليل وتفاصيل الهجوم

تم اكتشاف البرمجية الخبيثة “فالي رات” لأول مرة في عام 2023، وتنسب إلى جهة تهديد تُعرف باسم “الثعلب الفضي” (Silver Fox). وقد ركزت هذه الجهة سابقًا على استهداف المناطق الناطقة باللغة الصينية مثل هونغ كونغ وتايوان والبر الرئيسي الصيني.

ووفقًا لتقرير نُشر مؤخرًا من قبل الباحث شموئيل أوزان من شركة مورفيسيك، فقد زاد هذا المهاجم من استهدافه للأدوار الرئيسية داخل المؤسسات، خصوصًا في قطاعات المالية والمحاسبة والمبيعات. يعكس هذا التوجه الاستراتيجي تركيزًا على المناصب ذات القيمة العالية والوصول إلى البيانات والأنظمة الحساسة.

آليات الهجوم وأساليب الانتشار

شوهدت سلاسل الهجوم المبكرة تُسلّم “فالي رات” بجانب عائلات خبيثة أخرى مثل “بيربل فوكس” (Purple Fox) و”جوست رات” (Gh0st RAT)، حيث استخدمت الأخيرة بشكل واسع من قبل مجموعات القرصنة الصينية. وكما حدث مؤخرًا، فقد استُخدمت مُثبّتات مزيفة لبرمجيات شرعية كآلية توزيع للبرمجية الخبيثة من خلال مُحمّل DLL يُعرف باسم “بينج بلج” (PNGPlug).

يُذكر أن مخطط تنزيل خبيث يستهدف المستخدمين الناطقين بالصينية في نظام ويندوز قد استخدم سابقًا لنشر “جوست رات” باستخدام حزم مُثبّتات خبيثة لمتصفح كروم.

تفاصيل السلسلة الهجومية الحالية

في السلسلة الهجومية المرتبطة بـ”فالي رات”، يتم استخدام موقع وهمي لجوجل كروم لخداع الأهداف وتحميل أرشيف ZIP يحتوي على ملف قابل للتنفيذ (“Setup.exe”). يقوم الملف، عند تشغيله، بالتحقق من وجود صلاحيات المسؤول ثم يتابع لتنزيل أربعة حمولات إضافية، بما في ذلك ملف تنفيذي شرعي مرتبط بتطبيق “دوين” (Douyin) – النسخة الصينية من تطبيق “تيك توك” – يُستخدم لتحميل DLL خبيث (“tier0.dll”)، مما يؤدي إلى تشغيل البرمجية الخبيثة “فالي رات”.

كما يتم استرداد ملف DLL آخر (“sscronet.dll”)، مسؤول عن إنهاء أي عملية تشغيل موجودة في قائمة الاستثناءات.

خصائص “فالي رات” وتأثيرها

تمت كتابتها بلغة C++ ومترجمة بالصينية، صُممت “فالي رات” لمراقبة محتوى الشاشة وتسجيل ضربات المفاتيح وإنشاء استمرارية على المضيف. كما أنها قادرة على بدء اتصالات مع خادم بعيد لانتظار تعليمات إضافية تمكنها من تعداد العمليات، وكذلك تنزيل وتنفيذ DLLs وبرامج تنفيذية عشوائية.

وفيما يخص حقن الحمولات، استغل المهاجم الملفات التنفيذية الموقعة والشرعية التي كانت عرضة لاختطاف ترتيب بحث DLL. يأتي هذا التطور في الوقت الذي شاركت فيه شركة سوفوس تفاصيل حول هجمات التصيد الاحتيالي التي تستخدم مرفقات الرسومات المتجهة القابلة للتطوير (SVG) لتفادي الكشف وتقديم برامج تسجيل ضربات المفاتيح المعتمدة على AutoIt مثل “نيميريا” (Nymeria) أو توجيه المستخدمين لصفحات سرقة بيانات الاعتماد.

التساؤل والتحليل المستقبلي

في ظل تصاعد التهديدات السيبرانية، كيف يمكن للمؤسسات تعزيز دفاعاتها ضد هجمات الهندسة الاجتماعية والبرمجيات الخبيثة؟ وما هي الاستراتيجيات الفعالة التي يمكن تبنيها لمواجهة مثل هذه التهديدات المتطورة؟

للبقاء على اطلاع دائم بأحدث الأخبار والمقالات الحصرية، تابعونا على X (Twitter) وفيسبوك.

#cybersecurity