حصان طروادة للألعاب ينشر RAT عبر المتصفح والدردشة

حصان طروادة للألعاب يعود عبر أدوات ألعاب مزيفة تنشر RAT مبني على جافا من المتصفح والدردشة، ما يهدد أجهزة ويندوز وحسابات اللاعبين.

كيف يعمل حصان طروادة للألعاب في الهجوم الجديد؟

يوهم المهاجمون المستخدمين بأنهم يحملون أدوات تحسين أو غش للألعاب، لكن الحزمة تخفي تنزيلًا خبيثًا يزرع بيئة جافا محمولة ويشغل ملف jd-gui.jar.

فريق استخبارات التهديدات في مايكروسوفت أشار إلى استخدام PowerShell وأدوات النظام المعروفة بـ LOLBins مثل cmstp.exe لتشغيل خفي وتجاوز الرصد.

سلسلة العدوى خطوة بخطوة

• تنزيل أداة ألعاب معدلة عبر المتصفح أو منصات الدردشة.
• مشغل خبيث يجهز بيئة جافا محمولة ويشغل ملف jd-gui.jar.
• استخدام PowerShell وLOLBins مثل cmstp.exe للتنفيذ المتخفي.
• حذف أداة التنزيل الأصلية وإضافة استثناءات إلى مايكروسوفت ديفندر.
• إنشاء مهمة مجدولة وسكربت بدء تشغيل باسم world.vbs.

ما الذي يفعله RAT بعد الإصابة؟

بعد التثبيت، تعمل البرمجية كأداة متعددة المهام؛ فهي محمل ومشغل ونازل للملفات في آن واحد.

يتصل RAT بخادم تحكم عن بعد على العنوان 79.110.49[.]15 لتلقي الأوامر وسحب البيانات.

أهم الأنشطة على الجهاز المصاب

• جمع بيانات المتصفح وملفات المستخدم الحساسة.
• تنزيل حمولات إضافية وتشغيلها عن بعد.
• تنفيذ أوامر النظام وإدارة العمليات.
• التقاط بيانات الاعتماد وإرسالها للخادم.
• توسيع نطاق الهجوم إلى أجهزة أخرى.

كيف تحمي نفسك من الهجوم على ويندوز؟

وفقاً لمتابعة تيكبامين، فإن الهجمات تستهدف إعدادات الحماية نفسها، لذلك يجب مراجعة الاستثناءات بانتظام وعدم تثبيت أدوات غير موثوقة.

• مراجعة استثناءات مايكروسوفت ديفندر وإلغاء غير الموثوق.
• تفقد المهام المجدولة وسكربتات بدء التشغيل المشبوهة.
• حذف ملفات مثل world.vbs وعزل الأجهزة المصابة فوراً.
• إعادة ضبط كلمات المرور للحسابات التي استخدمت على الجهاز.
• الاعتماد على مصادر رسمية لأدوات الألعاب والتحديثات.

ما هي برمجية Steaelite ولماذا تقلق خبراء الأمن؟

ظهر إعلان Steaelite في منتديات إجرامية في نوفمبر 2025 بوصفه RAT لويندوز بقدرات FUD، ويعمل على ويندوز 10 و11.

اللافت أنه يجمع سرقة البيانات وبرمجيات الفدية في لوحة ويب واحدة، مع وحدة فدية لأندرويد قيد التطوير.

ما الذي تقدمه لوحة التحكم

• تسجيل ضغطات المفاتيح والمراسلة بين المهاجم والضحية.
• البحث داخل الملفات وإدارة النقل.
• الانتشار عبر USB وتعديل الخلفية.
• تجاوز UAC وتنفيذ clipper للحافظة.
• أدوات مساعدة للمطور لتوليد حمولة إضافية.

كما يدعم إزالة البرمجيات المنافسة وتعطيل مايكروسوفت ديفندر أو ضبط استثناءات، مع طرق متعددة للاستمرارية.

• تنفيذ الأوامر عن بعد وتشغيل الملفات.
• إدارة الملفات والعمليات والخدمات.
• البث الحي للشاشة والتحكم التفاعلي.
• الوصول للكاميرا والميكروفون.
• مراقبة الحافظة وكلمات المرور.
• جرد البرامج المثبتة وتعقب الموقع.
• فتح الروابط وتنفيذ ملفات عشوائية.
• إطلاق هجمات DDoS عند الطلب.
• تجميع حمولات VB.NET من اللوحة.
• سرقة بيانات المتصفحات والتطبيقات.

في النهاية، يوضح تصاعد هجمات حصان طروادة للألعاب أن أدوات الغش قد تتحول إلى منصة تجسس، وتوصي تيكبامين بتحديث الحماية والاعتماد على المصادر الرسمية فقط.