اكتشف فريق الأبحاث والتحليل العالمي GReAT في مركز كاسبرسكي برمجية خبيثة اسمها GodRAT تعمل كحصان طروادة للوصول عن بُعد.
انتشرت البرمجية عبر ملفات شاشة توقف خبيثة تُخفي نفسها كمستندات مالية، وكانت تُرسل إلى الضحايا عبر تطبيق سكايب حتى مارس 2025 ثم انتقلت لاحقاً إلى قنوات أخرى، واستهدفت حملات الهجوم شركات صغيرة ومتوسطة في دول منها الإمارات وهونج كونج والأردن ولبنان.
عُثر على الشيفرة المصدرية لبرمجية GodRAT في شيفرة عميل بعد رفع ملفها في يوليو 2024 باستخدام أداة فحص، وكان ضمن الأرشيف أداة توليد تستطيع إنشاء ملفات تنفيذية وملفات DLL.
تتيح الأداة للمهاجمين إخفاء الشيفرة باستخدام أسماء عمليات مألوفة مثل svchost.exe وcmd.exe وwscript.exe وحفظ الملفات بصيغ متعددة مثل exe وcom وbat وscr وpif، كما استُخدمت تقنية إخفاء المعلومات (ستيجانوجرافي) لحقن شيل كود داخل صور تعرض بيانات مالية.
يقوم الشيل كود بتحميل برمجية GodRAT من خادم القيادة والتحكم ثم ينشئ اتصالاً عبر بروتوكول TCP مع الخادم باستخدام المنفذ المحدد في إعدادات البرمجية، وتجمع البرمجية معلومات واسعة مثل تفاصيل نظام التشغيل واسم المضيف واسم عملية البرمجية ومعرفها وحساب المستخدم المرتبط بها، كما تكتشف برامج مكافحة الفيروسات وبرامج التقاط المعلومات المثبتة.
تدعم GodRAT تشغيل إضافات، واستُخدمت إضافة FileManager للاستطلاع، وأطلق المهاجمون برنامجاً لسرقة كلمات المرور يستهدف متصفحي كروم ومايكروسوفت إيدج، كما استعانوا ببرمجية AsyncRAT كأداة إضافية للاحتفاظ بوصول طويل الأمد.
يعلق سوراب شارما، باحث أمني في فريق GReAT لدى كاسبرسكي، بأن GodRAT تبدو نسخة مطورة من برمجية AwesomePuppet التي رصدت كاسبرسكي أول مرة عام 2023، ويرجح ارتباطها بمجموعة Winnti APT، مشيراً إلى أن أساليب الانتشار والمعامل النادرة لسطر الأوامر وتشابه الكود مع Gh0st RAT والملفات المشتركة مثل البصمة الرقمية تدل على أصل مشترك، وأن الجهات المهاجمة لا تزال تعيد استخدام قواعد شيفرة قديمة وتعديلها لاستهداف ضحايا جدد.
توصيات للحماية
حدّث نظام التشغيل ومتصفح الإنترنت وبرامج مكافحة الفيروسات والبرامج الأخرى بانتظام لأن المهاجمين يستغلون الثغرات في البرمجيات، واستخدم حل أمني مؤسسي يوفر الحماية الفورية ورصد التهديدات وقدرات التحقق والاستجابة مثل حلول EDR وXDR، وفعل خيار “إظهار امتدادات الملفات” في إعدادات ويندوز لتسهيل كشف الملفات المشبوهة وتجنّب فتح الملفات ذات الامتدادات التنفيذية أو النصية المشكوك بها مثل exe وvbs وscr، واحذر لأن المهاجمين قد يخفيون ملفات خبيثة بصيغ تبدو كفيديو أو صورة أو مستند.
