LabubaRAT برمجية خبيثة جديدة تتخفى كأداة من إنفيديا لاستهداف أجهزة ويندوز، مع قدرات تحكم عن بعد وسرقة بيانات وتجاوز بعض وسائل الحماية.
ما هو LabubaRAT ولماذا يثير القلق؟
يرصد الباحثون الأمنيون ظهور حصان طروادة للوصول عن بعد مكتوب بلغة Rust، ويعتمد على انتحال صفة برامج مألوفة داخل النظام حتى يندمج مع البيئة المصابة دون إثارة الشكوك سريعاً.
الخطير هنا أن LabubaRAT لا يكتفي بفتح باب خلفي فقط، بل يمنح المهاجم موطئ قدم دائم نسبياً لتنفيذ أوامر مباشرة، ونقل ملفات، والتقاط صور للشاشة، وحتى تمرير الاتصال عبر الجهاز الضحية.
كيف يبدأ الهجوم؟
تبدأ السلسلة بملف تنفيذي يحمل اسم nvidia-sysruntime.exe، وهو اسم يبدو قريباً من أدوات إنفيديا الشرعية. هذا التشابه قد يساعد المهاجمين على خداع المستخدم أو المسؤول التقني داخل الشبكة.
- الملف ينتحل أداة مرتبطة ببيئة إنفيديا
- الاستهداف يركز على أجهزة Windows
- البرمجية لا تعتمد دائماً على إعدادات ثابتة داخل الكود
كيف يتواصل LabubaRAT مع خوادم المهاجمين؟
بدلاً من تضمين بيانات الاتصال داخل العينة بشكل صريح، تقبل البرمجية إعداداتها أثناء التشغيل عبر سطر الأوامر. هذا الأسلوب يمنح المشغل مرونة كبيرة لإعادة استخدام الملف نفسه في أكثر من حملة أو أكثر من جهة مستهدفة.
كما يمكن تمرير الإعدادات الحساسة ضمن قيمة واحدة مشفرة بصيغة Base64، ما يصعّب التحليل الأولي على بعض الأدوات. وبعد ذلك تُخزن البيانات محلياً داخل قاعدة SQLite لتبقى متاحة خلال عمل البرمجية.
- قنوات الاتصال تشمل HTTPS
- دعم WebView2 ضمن آليات التواصل
- إمكانية استخدام DNS Tunneling للحفاظ على الوصول
- تبديل البنية التحتية بسهولة بين حملة وأخرى
ما الذي يفعله التهديد داخل ويندوز؟
بعد التشغيل، يبدأ التهديد في جمع معلومات تفصيلية عن الجهاز، مثل اسم المضيف، سعة الذاكرة، نوع المعالج، وحالة التحكم بحساب المستخدم UAC. هذه المرحلة تساعد المهاجم على فهم البيئة قبل توسيع النشاط داخل النظام.
كذلك يفحص وجود متصفحات وأدوات حماية معروفة، وهو ما قد يحدد الأوامر التالية أو أسلوب التخفي المناسب. ووفقاً لمتابعة تيكبامين، فإن هذا النوع من الاستطلاع المسبق يعد مؤشراً على حملات أكثر تنظيماً ومرونة.
- جمع معلومات النظام الأساسية
- رصد متصفحات مثل Chrome وFirefox وEdge وBrave
- التحقق من حلول أمنية مثل Microsoft Defender وCrowdStrike وSentinelOne
- تقييم البيئة قبل تنفيذ مهام إضافية
ما قدرات LabubaRAT ولماذا يصعب اكتشافه؟
تشمل وظائفه تنفيذ الأوامر، وتشغيل PowerShell وJavaScript، ورفع الملفات وتنزيلها، والتعامل مع الأرشيفات، ودعم SOCKS5 Proxy. هذه القدرات تجعل الجهاز المصاب منصة عمل كاملة للمهاجم، لا مجرد نقطة دخول مؤقتة.
تعدد وسائل الاتصال يمنحه ميزة الاستمرار حتى إذا تم إغلاق قناة واحدة، بينما يوحي أسلوب تشغيله المرن بأنه قد يُعرض ضمن نموذج البرمجيات الخبيثة كخدمة. في النهاية، يبرز LabubaRAT كتهديد متطور يستدعي تحديث الحماية ومراجعة أي ملف ينتحل اسم إنفيديا، وهو ما تؤكد عليه تيكبامين لمستخدمي ويندوز والشركات على حد سواء.