أصبحت البرمجيات الخبيثة تهديدًا متزايدًا في العالم الرقمي، حيث يستخدم المهاجمون تقنيات متطورة لاستهداف الأفراد والمؤسسات. في الآونة الأخيرة، تم الكشف عن استخدام مواقع ويب زائفة تزعم أنها تروج لمتصفح جوجل كروم لتوزيع مثبتات خبيثة لبرمجية الوصول عن بُعد المعروفة باسم فاليريات (ValleyRAT).

تحليل متعمق وسياق تاريخي

تم اكتشاف البرمجية الخبيثة فاليريات لأول مرة في عام 2023، وهي مرتبطة بجهة تهديد تُعرف باسم الثعلب الفضي (Silver Fox)، والتي استهدفت سابقًا المناطق المتحدثة بالصينية مثل هونغ كونغ وتايوان والبر الرئيسي للصين. وتبرز هذه الحملة التركيز الاستراتيجي على الأدوار الحساسة في المؤسسات، خاصة في مجالات التمويل والمحاسبة والمبيعات، مما يعكس اهتمام المهاجمين بالوصول إلى البيانات الحساسة والأنظمة الحيوية.

وفقًا لتقرير الباحث في شركة مورفيسك (Morphisec)، شموئيل أوزان، فإن السلاسل الهجومية الأولية شهدت تسليم فاليريات بجانب عائلات برمجيات خبيثة أخرى مثل بيربل فوكس (Purple Fox) وجوست رات (Gh0st RAT)، التي استخدمت على نطاق واسع من قبل مجموعات قرصنة صينية.

التقنيات المستخدمة وآثارها الأمنية

تم رصد استخدام مثبتات مزيفة لبرمجيات شرعية كآلية لتوزيع البرمجية الخبيثة عبر أداة تحميل (DLL Loader) تُعرف باسم PNGPlug. وكما هو الحال مع الهجمات السابقة، يتم استخدام موقع ويب مزيف لجوجل كروم لخداع الضحايا لتحميل أرشيف ZIP يحتوي على ملف تنفيذي (“Setup.exe”).

يقوم الملف التنفيذي، عند تنفيذه، بفحص امتلاكه لصلاحيات المسؤول ثم يبدأ في تحميل أربعة حمولات إضافية، بما في ذلك ملف تنفيذي شرعي مرتبط بتطبيق دوين (Douyin.exe)، النسخة الصينية من تيك توك، الذي يستخدم لتحميل مكتبة DLL خبيثة (“tier0.dll”)، والتي بدورها تقوم بتشغيل البرمجية الخبيثة فاليريات.

تأثيرات أوسع وتوجهات الأمن السيبراني

تمت كتابة فاليريات بلغة C++ وتهدف إلى مراقبة محتوى الشاشة وتسجيل ضغطات المفاتيح وإنشاء استمرارية على الجهاز المستهدف. بالإضافة إلى ذلك، يمكنها بدء اتصالات مع خادم بعيد لانتظار تعليمات إضافية تتيح لها تعداد العمليات وتحميل وتنفيذ مكتبات DLL وملفات تنفيذية أخرى.

أشار أوزان إلى أن المهاجم استخدم ملفات تنفيذية موقعة شرعيًا كانت عرضة لاختراق ترتيب بحث مكتبات DLL، مما يؤكد على الحاجة الملحة إلى تعزيز ضوابط الأمن السيبراني وتحسين ممارسات حماية البرمجيات.

التفاعل والمناقشة

في ظل التعقيدات المتزايدة للهجمات السيبرانية، كيف يمكن للشركات تعزيز دفاعاتها السيبرانية لحماية بياناتها الحساسة؟ وما هي الخطوات التي يمكن اتخاذها لضمان عدم الوقوع ضحية لمثل هذه الخدع المتطورة؟ نرحب بتعليقاتكم وآرائكم حول هذا الموضوع الحساس.

للمزيد من المعلومات حول أحدث أخبار الأمن السيبراني، تابعونا على تويتر وفيسبوك.