جوجل DoubleClick في خطر: برمجية DesckVB RAT تهاجم المستخدمين

رصد الخبراء حملة تستغل نطاقات جوجل لنشر برمجية DesckVB RAT، مما يهدد بيانات المستخدمين بشكل كبير، وفقاً لما ذكره تقرير تقني من تيكبامين.

كيف يتم استغلال جوجل DoubleClick لتجاوز أنظمة الحماية؟

تعتمد هذه الحملة الجديدة على أسلوب ذكي يتمثل في استخدام روابط تتبع النقرات عبر نطاق DoubleClick التابع لشركة جوجل. يهدف هذا الإجراء إلى خداع أدوات الأمن الرقمي التي تعتبر هذا النطاق موثوقاً بطبيعته.

عندما تصل الرسالة الخبيثة إلى الضحية، يتم توجيهه عبر مسارات شرعية تماماً في البداية، مما يقلل من احتمالية اكتشاف الهجوم بواسطة فلاتر البريد الإلكتروني التقليدية. وبحسب ما نشره تيكبامين، فإن المهاجمين يستخدمون أدوات متطورة تخصص المحتوى تلقائياً بناءً على عنوان البريد الإلكتروني للهدف لإضفاء طابع المصداقية.

ما هي برمجية DesckVB RAT وكيف تعمل؟

تعتبر DesckVB RAT برمجية وصول عن بُعد (RAT) متطورة مبنية على بيئة .NET، وهي نشطة في الفضاء الرقمي منذ مطلع عام 2026. تهدف هذه البرمجية إلى منح المهاجم تحكماً كاملاً في الجهاز المخترق سراً.

سلسلة الإصابة والخطوات التقنية

• تبدأ العملية بفتح ملف HTML مرفق بالبريد الإلكتروني يؤدي لإعادة توجيه المتصفح.
• يتم استخدام روابط تتبع في Google DoubleClick لتضليل برامج الحماية.
• يتم فك تشفير بيانات الضحية المشفرة بصيغة Base64 لعرض صفحة هبوط مخصصة.
• عند النقر على زر التحميل، يتم تنزيل أرشيف ZIP يحتوي على ملفات JavaScript خبيثة.

بمجرد تشغيل الملفات، يتم استدعاء أوامر PowerShell لجلب البرمجية النهائية من خوادم خارجية، ثم تبدأ مرحلة التثبيت والانتشار داخل النظام.

تقنيات متطورة للتخفي وتجنب الاكتشاف

تستخدم البرمجية تقنية تُعرف باسم "Process Hollowing"، حيث يتم حقن الكود الخبيث داخل عمليات نظام ويندوز الرسمية والموثوقة. هذا الأسلوب يجعل من الصعب جداً على مديري المهام العاديين اكتشاف وجود نشاط مشبوه.

بالإضافة إلى ذلك، تقوم البرمجية بالخطوات التالية لضمان بقائها:

• تعطيل واجهة فحص البرمجيات الضارة (AMSI) في نظام ويندوز.
• إيقاف تتبع أحداث النظام (ETW) لمنع تسجيل الأنشطة المشبوهة.
• إضافة استثناءات تلقائية في برنامج Microsoft Defender لمنع فحص ملفات البرمجية.
• إنشاء مدخلات في سجل النظام (Registry) لضمان العمل التلقائي مع كل تشغيل للجهاز.

كيف تحمي نفسك من هجمات البريد الإلكتروني الملغومة؟

يشدد خبراء تيكبامين على أهمية الحذر الشديد عند التعامل مع المرفقات، حتى لو كانت الروابط تبدو مرتبطة بمواقع كبرى مثل جوجل. التواصل مع خادم التحكم (C2) يتم عبر بروتوكولات معقدة تتيح للمهاجمين سرقة البيانات في الوقت الفعلي.

لتأمين جهازك، يُنصح باتباع الآتي:

• تحديث نظام التشغيل والبرامج الأمنية بشكل دوري.
• عدم النقر على روابط تحميل الملفات في رسائل البريد غير المتوقعة.
• استخدام ميزة التحقق بخطوتين لحماية الحسابات الحساسة.

في الختام، تظل الهجمات التي تستغل الثقة في النطاقات الكبرى هي الأكثر خطورة، مما يتطلب يقظة دائمة من المستخدمين والمؤسسات على حد سواء.