اكتشف فريق الأبحاث والتحليل العالمي GReAT في مركز كاسبرسكي للأبحاث، برمجية GodRAT الخبيثة، التي تعتبر نوعًا من حصان طروادة المستخدم للوصول عن بعد، وتنتشر عبر ملفات شاشة التوقف المحتوية على ما يُخفي مستندات مالية، وقد كانت تُرسل للضحايا عبر تطبيق سكايب حتى مارس 2025، لتنتقل بعدها إلى قنوات أخرى، واستهدفت هذه البرمجية الشركات الصغيرة والمتوسطة في دول مختلفة مثل الإمارات العربية المتحدة، وهونج كونج، والأردن، ولبنان.
تم نشر برمجية GodRAT خلال هجمات جديدة، حيث عُثِر عليها في الشيفرة المصدرية لأحد العملاء عبر أداة فحص، وذلك بعد أن تم رفع ملف البرمجية الخبيثة إليها في يوليو 2024. ويحتوي الأرشيف المرتبط بهذه البرمجية على أداة قادرة على توليد ملفات خبيثة بصيغ تنفيذية (EXE) و(DLL)، مما يسمح للمهاجمين بخداع الضحايا وإخفاء الملفات الخبيثة تحت أسماء عمليات وبرامج معروفة مثل svchost.exe وcmd.exe وwscript.exe، لحقن كود البرمجية وحفظ الملفات بتنسيقات متعددة تشمل .exe و.com و.bat و.scr و.pif.
استخدم المهاجمون تقنية إخفاء المعلومات (Steganography) لتفادي الاكتشاف، حيث قاموا بإدخال الشيل كود الخبيث داخل ملفات الصور التي تعرض بيانات مالية متعددة. ويتولى الشيل كود تحميل برمجية GodRAT من خادم القيادة والتحكم (C2)، وبعد ذلك تُنشئ برمجية حصان طروادة اتصالاً ببروتوكول TCP مع الخادم المذكور، مستخدمة المنفذ المحدد في إعداداتها.
تجمع البرمجية الخارقة معلومات عديدة، تتضمن تفاصيل نظام التشغيل، اسم المضيف المحلي، واسم عملية البرمجية مع معرفها، بالإضافة إلى الحساب المستخدم والمتعلق بهذه العملية، كما تقوم بالكشف عن برامج مكافحة الفيروسات المثبتة على الجهاز، والتأكد من وجود برنامج لالتقاط المعلومات.
إضافةً إلى ذلك، تتيح برمجية GodRAT الخبيثة تشغيل إضافات أخرى بعد تثبيتها مثل إضافة FileManager لاستكشاف أنظمة الضحية، وقد أطلق المهاجمون برنامجًا لسرقة كلمات المرور، مستهدفين متصفحي كروم ومايكروسوفت إيدج، لسرقة بيانات تسجيل الدخول، ولم يقتصر استخدام المهاجمين على GodRAT فحسب، بل استخدموا أيضًا برمجية AsyncRAT كأداة إضافية لتحقيق وصول أعمق إلى النظام لفترة أطول.
وفي تعليقٍ على هذه القضية، يقول “سوراب شارما”، باحث أمني في فريق GReAT بكاسبرسكي: “تبدو GodRAT تحسينًا جديدًا لبرمجية AwesomePuppet التي رصدتها كاسبرسكي لأول مرة في 2023، وهناك احتمال كبير أنها مرتبطة بمجموعة Winnti APT الإجرامية.”
تشير أساليب الانتشار والمعلمات النادرة لأسطر الأوامر وتشابه الكود مع Gh0st RAT والملفات المشتركة التي تحمل بصمة تعريفية رقمية إلى الأصل المشترك بين هذه البرمجيات. على الرغم من مرور نحو عقدين منذ ظهورهم، لا تزال الجهات المهددة تستفيد من قواعد بيانات الشيفرة القديمة لبرمجيات الزرع مثل Gh0st، حيث تواصل تحديثها وتطويرها لاستهداف عدد كبير من الضحايا.
إن اكتشاف برمجية GodRAT يعد دليلاً على أن هذه الأدوات المعروفة منذ فترة طويلة تبقى فعالة ومؤثرة في الأوضاع الحالية للأمن السيبراني.
للحفاظ على أمانك الشخصي والمهني، يُوصى باتباع بعض التدابير الوقائية مثل تحديث نظام التشغيل والمتصفحات وبرامج مكافحة الفيروسات بشكل دوري، لأن المجرمين السيبرانيين يسعون لاستغلال الثغرات الأمنية في البرمجيات لاختراق الأنظمة.
كما ينصح باستخدام حلول أمنية لحماية مؤسستك، حيث توفر ميزات متعددة مثل الحماية الفورية، ورصد التهديدات واكتشافها، إلى جانب قدرات التحقق والاستجابة المتاحة ضمن حلول EDR وXDR التي تناسب جميع قطاعات الأعمال بمختلف أحجامها.
تفعيل خيار “إظهار امتدادات الملفات” ضمن إعدادات نظام ويندوز يُعد خطوة هامة، فهذه العملية تسهم في تمييز الملفات الخبيثة المحتملة، خاصة أن حصان طروادة هو برنامج خبيث يمكن أن يُخفي نفسه تحت أسماء غير مشبوهة.
توخَّ الحذر لأن الكثير من الملفات المعروفة قد تكون مضللة؛ فأحيانًا يستخدم المجرمون تنسيقات أخرى بهدف إخفاء الملفات الخبيثة تحت مظهر فيديو أو صورة أو مستند.