برمجية خبيثة جديدة تستهدف Windows بأسلوب متطور

كشفت أبحاث الأمن الرقمي عن حملة برمجيات خبيثة جديدة تُعرف بـ SHADOW#REACTOR تستخدم سلسلة هجمات متعددة المراحل لتسليم أداة Remcos RAT التجارية وإنشاء وصول عني مت persistence. حسب تيكبامين، تستخدم الحملة تقنيات تخفي متقدمة لتعقيد عمليات الكشف والتحليل.

كيف تعمل حملة SHADOW#REACTOR؟

تعتمد الحملة على سلسلة تنفيذ محكمة تبدأ بملف VBS مشفر يتم تنفيذه عبر wscript.exe، والذي بدوره يستدعي برنامج PowerShell downloader. يوضح باحثو Securonix أن هذه البرامج النصية تجمع payloads مجزأة من خادم بعيد وتعيد بنائها.

• VBS launcher يتم تنفيذه عبر wscript.exe
• PowerShell downloader لجلب payloads
• NET Reactor-protected assembly لفك التشفير في الذاكرة
• MSBuild.exe كـ LOLBin لإكمال التنفيذ

مراحل الهجوم المتعددة

تتميز الحملة باستخدام مرحلة وسيطة تعتمد على ملفات نصية فقط، مع PowerShell لإعادة البناء في الذاكرة و reflective loader محمي بـ .NET Reactor. هذا الأسلوب يهدف إلى تعقيد جهود الكشف والتحليل.

ما هو Remcos RAT؟

Remcos RAT هو أداة إدارة عن بعد تجارية متاحة للشراء بشكل قانوني، لكنها تُستخدم غالباً في الهجمات الإلكترونية بسبب قدراتها القوية. تسمح الأداة بالمهاجمين بالتحكم الكامل في الأنظمة المصابة.

• وصول عني كامل للنظام
• سرقة البيانات والملفات الحساسة
• تسجيل لوحة المفاتيح والشاشات
• إمكانيات persistence متقدمة

من هم المستهدفون؟

تُقدر الأنشطة بأنها واسعة وانتهازية، تستهدف بشكل أساسي بيئات المؤسسات والشركات الصغيرة والمتوسطة. تتماشى الأدوات والتكتيكات مع وسطاء الوصول الأولي الذين يحصلون على موطئ قدم في البيئات المستهدفة لبيعها لجهات فاعلة أخرى مقابل مكاسب مالية.

كيف تبدأ عملية الإصابة؟

تبدأ سلسلة الإصابة بالحصول على ملف VBS مشفر (win64.vbs) يتم تشغيله على الأرجح من خلال تفاعل المستخدم، مثل النقر على رابط يتم تسليمه عبر رسائل الهندسة الاجتماعية. يعمل البرنامج النصي كـ launcher خفيف لـ PowerShell payload مشفر بـ Base64.

كيف تحمي نفسك من هذه الهجمات؟

يُوصى خبراء الأمن الرقمي باتباع عدة إجراءات وقائية للحماية من مثل هذه الحملات المتطورة. تشير تقارير تيكبامين إلى أهمية الوعي الأمني وتحديث الأنظمة بشكل دوري.

• تجنب النقر على روابط مشبوهة في رسائل البريد الإلكتروني
• تحديث Windows والبرامج بانتظام
• استخدام حلول أمنية متقدمة تكتشف السلوك المشبوه
• تثبيت تعليمات الأمن الرقمي للموظفين
• تفعيل المصادقة متعددة العوامل حيثما أمكن

تُظهر حملة SHADOW#REACTOR تطوراً مستمراً في تكتيكات المهاجمين الذين يستخدمون أدوات مشروعة لأغراض خبيثة. تعد هذه الحملة تذكيراً بأهمية vigilance المستمرة وتبني ممارسات أمنية قوية للدفاع ضد التهديدات السيبرانية المتقدمة.