هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

LabubaRAT يتنكر كبرنامج إنفيديا لاختراق ويندوز

ملخص للمقال
  • LabubaRAT برمجية خبيثة جديدة تستهدف ويندوز وتتنكر كبرنامج إنفيديا عبر الملف nvidia-sysruntime.exe، ما يزيد فرص الخداع والتثبيت داخل الشبكات دون إثارة الشكوك
  • التهديد مكتوب بلغة Rust ويعمل كحصان طروادة للوصول عن بعد، مع قدرات تنفيذ أوامر وسرقة بيانات ونقل ملفات والتقاط صور شاشة
  • يبدأ هجوم LabubaRAT على ويندوز بملف تنفيذي يحمل اسماً قريباً من أدوات إنفيديا الشرعية، ما يصعّب التمييز بين البرنامج المزيف والمنتجات الأصلية
  • بدلاً من تضمين الإعدادات داخل الكود، يستقبل LabubaRAT بيانات الاتصال أثناء التشغيل عبر سطر الأوامر، ويمكن تمريرها مشفرة بصيغة Base64 لتقليل وضوح التحليل
  • تشمل آليات التواصل في LabubaRAT استخدام HTTPS وWebView2 وإمكانية DNS Tunneling، مع تخزين البيانات محلياً داخل SQLite لتسهيل الاستمرارية وتبديل البنية التحتية
  • خطورة LabubaRAT تتجاوز الباب الخلفي التقليدي لأنه يمنح المهاجمين وصولاً دائماً نسبياً داخل ويندوز، ما يرفع مخاطر التجسس والتوسع المستقبلي مقارنة بتهديدات أبسط
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
LabubaRAT يتنكر كبرنامج إنفيديا لاختراق ويندوز
محتوى المقال
جاري التحميل...
LabubaRAT

LabubaRAT برمجية خبيثة جديدة تتخفى كأداة من إنفيديا لاستهداف أجهزة ويندوز، مع قدرات تحكم عن بعد وسرقة بيانات وتجاوز بعض وسائل الحماية.

ما هو LabubaRAT ولماذا يثير القلق؟

يرصد الباحثون الأمنيون ظهور حصان طروادة للوصول عن بعد مكتوب بلغة Rust، ويعتمد على انتحال صفة برامج مألوفة داخل النظام حتى يندمج مع البيئة المصابة دون إثارة الشكوك سريعاً.

الخطير هنا أن LabubaRAT لا يكتفي بفتح باب خلفي فقط، بل يمنح المهاجم موطئ قدم دائم نسبياً لتنفيذ أوامر مباشرة، ونقل ملفات، والتقاط صور للشاشة، وحتى تمرير الاتصال عبر الجهاز الضحية.

كيف يبدأ الهجوم؟

تبدأ السلسلة بملف تنفيذي يحمل اسم nvidia-sysruntime.exe، وهو اسم يبدو قريباً من أدوات إنفيديا الشرعية. هذا التشابه قد يساعد المهاجمين على خداع المستخدم أو المسؤول التقني داخل الشبكة.

  • الملف ينتحل أداة مرتبطة ببيئة إنفيديا
  • الاستهداف يركز على أجهزة Windows
  • البرمجية لا تعتمد دائماً على إعدادات ثابتة داخل الكود

كيف يتواصل LabubaRAT مع خوادم المهاجمين؟

بدلاً من تضمين بيانات الاتصال داخل العينة بشكل صريح، تقبل البرمجية إعداداتها أثناء التشغيل عبر سطر الأوامر. هذا الأسلوب يمنح المشغل مرونة كبيرة لإعادة استخدام الملف نفسه في أكثر من حملة أو أكثر من جهة مستهدفة.

كما يمكن تمرير الإعدادات الحساسة ضمن قيمة واحدة مشفرة بصيغة Base64، ما يصعّب التحليل الأولي على بعض الأدوات. وبعد ذلك تُخزن البيانات محلياً داخل قاعدة SQLite لتبقى متاحة خلال عمل البرمجية.

  • قنوات الاتصال تشمل HTTPS
  • دعم WebView2 ضمن آليات التواصل
  • إمكانية استخدام DNS Tunneling للحفاظ على الوصول
  • تبديل البنية التحتية بسهولة بين حملة وأخرى

ما الذي يفعله التهديد داخل ويندوز؟

بعد التشغيل، يبدأ التهديد في جمع معلومات تفصيلية عن الجهاز، مثل اسم المضيف، سعة الذاكرة، نوع المعالج، وحالة التحكم بحساب المستخدم UAC. هذه المرحلة تساعد المهاجم على فهم البيئة قبل توسيع النشاط داخل النظام.

كذلك يفحص وجود متصفحات وأدوات حماية معروفة، وهو ما قد يحدد الأوامر التالية أو أسلوب التخفي المناسب. ووفقاً لمتابعة تيكبامين، فإن هذا النوع من الاستطلاع المسبق يعد مؤشراً على حملات أكثر تنظيماً ومرونة.

  • جمع معلومات النظام الأساسية
  • رصد متصفحات مثل Chrome وFirefox وEdge وBrave
  • التحقق من حلول أمنية مثل Microsoft Defender وCrowdStrike وSentinelOne
  • تقييم البيئة قبل تنفيذ مهام إضافية

ما قدرات LabubaRAT ولماذا يصعب اكتشافه؟

تشمل وظائفه تنفيذ الأوامر، وتشغيل PowerShell وJavaScript، ورفع الملفات وتنزيلها، والتعامل مع الأرشيفات، ودعم SOCKS5 Proxy. هذه القدرات تجعل الجهاز المصاب منصة عمل كاملة للمهاجم، لا مجرد نقطة دخول مؤقتة.

تعدد وسائل الاتصال يمنحه ميزة الاستمرار حتى إذا تم إغلاق قناة واحدة، بينما يوحي أسلوب تشغيله المرن بأنه قد يُعرض ضمن نموذج البرمجيات الخبيثة كخدمة. في النهاية، يبرز LabubaRAT كتهديد متطور يستدعي تحديث الحماية ومراجعة أي ملف ينتحل اسم إنفيديا، وهو ما تؤكد عليه تيكبامين لمستخدمي ويندوز والشركات على حد سواء.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

الكلمات المفتاحية:

#ويندوز 11 #كوالكوم ضد إنفيديا

مقالات مقترحة

محتوى المقال
جاري التحميل...