🗓 الجمعة - 6 مارس 2026، 09:50 مساءً |
⏱ 3 دقيقة |
👁 2 مشاهدة
برمجية VOID#GEIST حملة متعددة المراحل تنشر XWorm وAsyncRAT وXeno RAT عبر سكربتات خفية. التقنيات بلا ملفات تستهدف ويندوز وتقلل فرص الرصد.ما هي برمجية VOID#GEIST ولماذا توصف متعددة المراحل؟الحملة تعتمد على سلسلة تحميل معقدة تجمع بين سكربتات Batch وPowerShell وبيئة Python مدمجة، وتعمل دون تثبيت ملفات تقليدية. هذا النمط يسمح للمهاجمين بتبديل الحمولة بسهولة بحسب الهدف.مراحل التنفيذ داخل الذاكرةسكربت Batch أولي يتم جلبه من نطاق مؤقت عبر التصيد.إطلاق سكربت ثانٍ مع إخفاء النافذة باستخدام PowerShell.تحميل Python runtime صغير لفك تشفير شيفرة Shellcode.حقن الشيفرة في عمليات explorer.exe عبر تقنية Early Bird APC.اللافت أن السلسلة تعتمد على تنفيذ بلا ملفات، ما يقلل فرص اكتشاف أدوات الحماية المعتمدة على القرص. كما تبدو كل مرحلة إدارية عادية عند فحصها منفردة.تقنية Early Bird APC تسمح بحقن الشيفرة فور إنشاء العملية، ما يقلل فرص اعتراضها. لذلك تُعد مراقبة عمليات explorer.exe المبكرة إشارة مهمة.كيف يتم تسليم XWorm وAsyncRAT وXeno RAT؟بعد تثبيت موطئ القدم، تبدأ الحملة في فك تشفير حمولات RAT متعددة مثل XWorm وAsyncRAT وXeno RAT. الرسائل الاحتيالية هي نقطة البداية، وغالباً ما تستخدم نطاقات TryCloudflare لتمويه المصدر.قدرات أدوات التحكم عن بعدالتحكم الكامل بواجهة الجهاز والتنقل بين النوافذ.سرقة كلمات المرور وبيانات المتصفح والملفات الحساسة.التقاط لقطات شاشة وتسجيل ضغطات المفاتيح.الاعتماد على تشفير الحمولة يجعل التحليل التقليدي أصعب، بينما يسمح للمهاجمين بتبديل النسخ بسرعة خلال أيام. كما أن الحملة لا تطلب تصعيد صلاحيات، فتستغل امتيازات المستخدم الحالي فقط.ما دور الخداع البصري وملفات PDF في الهجوم؟لتشتيت الضحية، يفتح السكربت ملف PDF مالي أو فاتورة عبر Google Chrome بوضع ملء الشاشة. في الخلفية يُعاد تشغيل السكربت باستخدام -WindowStyle Hidden لتجنب إظهار أي نافذة.هذا الإلهاء يمنح المهاجم دقائق ثمينة لتهيئة البيئة وتشغيل الشيفرة داخل الذاكرة. وبعدها يُنشأ سكربت مساعد في مجلد Startup لضمان الاستمرارية بعد إعادة التشغيل.آلية الاستمرارية بعد إعادة التشغيلنسخ سكربت خفيف إلى مسار Startup الخاص بالمستخدم.تشغيل تلقائي عند كل تسجيل دخول دون إشعار.إعادة استدعاء مراحل التحميل نفسها بدون تغييرات واضحة.كيف تحمي المؤسسات من برمجية VOID#GEIST؟وفقاً لمتابعة تيكبامين، فإن أنجح الدفاعات تبدأ من تقليل فرص التصيد وتقييد السكربتات عالية الخطورة. المراقبة السلوكية لعمليات explorer.exe وPowerShell تساعد على كشف الأنماط غير المعتادة.خطوات عملية للحد من المخاطرتفعيل فلاتر البريد مع تنبيهات للملفات التنفيذية المرفقة.فرض سياسات تقييد Batch وPowerShell على الأجهزة الطرفية.مراقبة الاتصالات الخارجية غير المعتادة من بيئات المستخدمين.تحديث حلول EDR لتتبع حقن الذاكرة وعمليات APC.تدريب الموظفين على التحقق من الفواتير والروابط المشبوهة.مؤشرات مبكرة للهجومتشغيل Chrome بملء الشاشة فور فتح المرفق.ظهور سكربت Batch جديد داخل مجلد Startup.اتصالات خارجية بعد تشغيل PowerShell بشكل مخفي.في النهاية، تبقى برمجية VOID#GEIST مثالاً على تطور الهجمات متعددة المراحل، ما يستدعي دفاعاً طبقيّاً وتعاوناً داخلياً سريعاً. تنصح تيكبامين بمراجعة سياسات النسخ الاحتياطي والاستجابة للحوادث بشكل دوري.