في عالم يتزايد فيه الاعتماد على الإنترنت، أصبحت البرمجيات الخبيثة تهديدًا متزايدًا للأمان الرقمي. في الآونة الأخيرة، تم اكتشاف مواقع زائفة تروج لتثبيتات مزيفة لمتصفح جوجل كروم (Google Chrome) بهدف توزيع برنامج خبيث للتحكم عن بعد يعرف باسم فاليريات (ValleyRAT).

تحليل عميق للهجوم الإلكتروني

تم الكشف عن البرمجية الخبيثة فاليريات في عام 2023 وتنسب إلى مجموعة تهديد تُعرف باسم سيلفر فوكس (Silver Fox). استهدفت هذه المجموعة سابقًا مناطق ناطقة بالصينية مثل هونغ كونغ وتايوان والصين القارية. وأبرز الباحث شمئيل أوزان من شركة مورفيسك (Morphisec) في تقرير نُشر مؤخرًا أن “هذا الفاعل أصبح يستهدف بشكل متزايد الأدوار الرئيسية داخل المنظمات، لا سيما في أقسام المالية والمحاسبة والمبيعات، مما يبرز التركيز الاستراتيجي على المناصب ذات القيمة العالية التي تتمتع بإمكانية الوصول إلى البيانات والأنظمة الحساسة.”

تم ملاحظة سلاسل الهجمات المبكرة التي قامت بتوزيع فاليريات إلى جانب عائلات برمجية خبيثة أخرى مثل بيربل فوكس (Purple Fox) و جوست رات (Gh0st RAT)، الذي يستخدم بشكل واسع من قبل مجموعات اختراق صينية مختلفة. في الآونة الأخيرة، تم استخدام مثبتات مزيفة للبرامج الشرعية كآلية توزيع للبرمجية الخبيثة من خلال محمل DLL يدعى بي إن جي بلج (PNGPlug).

آلية الهجوم وتوزيع البرمجيات الضارة

يتبع الهجوم الحالي المتعلق بفاليريات نفس النهج باستخدام موقع زائف لجوجل كروم لخداع الضحايا لتحميل أرشيف ZIP يحتوي على ملف تنفيذي (“Setup.exe”). عند التنفيذ، يتأكد البرنامج من وجود صلاحيات المسؤول ثم يواصل تحميل أربعة حمولات إضافية، بما في ذلك ملف تنفيذي شرعي مرتبط بتطبيق دوين (Douyin.exe)، النسخة الصينية من تيك توك، ويستخدم لتحميل مكتبة DLL ضارة (“tier0.dll”) والتي بدورها تطلق برمجية فاليريات.

بالإضافة إلى ذلك، يتم استرداد ملف DLL آخر (“sscronet.dll”)، الذي يتولى إنهاء أي عملية جارية موجودة في قائمة الاستثناءات. تم تطوير فاليريات بلغة C++ وصمم لمراقبة محتوى الشاشة وتسجيل ضغطات المفاتيح وإنشاء استمرارية على الجهاز المستضيف. كما أنه قادر على بدء اتصالات مع خادم بعيد لانتظار تعليمات أخرى تتيح له تعداد العمليات وتنزيل وتنفيذ DLLs وملفات تنفيذية عشوائية.

التحديات الأمنية والتوجهات المستقبلية

يشكل هذا التطور أحدث تحدي أمام المؤسسات في مواجهة التهديدات السيبرانية. إن استغلال المواقع الزائفة لتوزيع البرمجيات الخبيثة يبرز الحاجة الملحة لتعزيز الأمان السيبراني. يتزامن هذا مع تقارير من شركة سوفوس (Sophos) حول هجمات التصيد الاحتيالي التي تستخدم مرفقات رسومات متجهية (SVG) لتجاوز الكشف وتوزيع برمجيات تسجيل ضربات المفاتيح أو توجيه المستخدمين إلى صفحات سرقة بيانات الاعتماد.

ختامًا، كيف يمكن للمؤسسات تعزيز دفاعاتها ضد هذا النوع من الهجمات؟ شاركونا آراءكم عبر تويتر أو فيسبوك.