ألعاب الذاكرة: كيف يفوز DesckVB RAT بسباق تسلّح البرمجيات الخبيثة في 2026
العنوان الفرعي: سلالة جديدة من البرمجيات الخبيثة عديمة الملفات تتسلّل متجاوزةً الدفاعات عبر مزج سكربتات مُشوَّهة، وتنفيذ خفي داخل الذاكرة، واتصالات قيادة وتحكّم مُشفَّرة.
في صباح يوم اثنين هادئ من عام 2026، يلاحظ محلّل أمن في شركة كبرى ومضةً عابرة - ملف JavaScript يبدو بريئًا في المجلد العام لأحد المستخدمين. لا شيء يوحي بوجود مشكلة، لكن خلال دقائق تشتعل لوحة المراقبة لدى المحلّل بحركة مرور مُشفَّرة مريبة. ما يختبئ تحت السطح هو DesckVB RAT، حصان طروادة خفي للتحكّم عن بُعد يعيد كتابة قواعد البرمجيات الخبيثة الحديثة - ومعظم المؤسسات لا تعلم حتى بوجوده.
داخل سلسلة العدوى
تبدأ هجمة DesckVB RAT بدرسٍ متقن في الخداع. يصل ملف JavaScript - مُرمَّز بكثافة ومليء بمقاطع مكررة - إلى نظام الضحية. وتُدفن مهمته الحقيقية تحت طبقات من التشويش، ما يؤخر اكتشافه لدى المحللين البشر والأدوات الآلية على حد سواء.
هذا الملف لا يعمل وحده. فهو يكتب منطقه في ملفات PowerShell ونصوص، ثم يُسقط حمولة PowerShell في C:\Users\Public. وقبل المضي قدمًا، يقوم السكربت بعمل ping إلى Google للتأكد من توفر اتصال الإنترنت - حيلة بسيطة لكنها فعّالة لتجنب إهدار الجهد على الأجهزة غير المتصلة.
وبمجرد الاتصال، يكشف السكربت عن عنوان URL يستضيف الحمولة، لكن ليس مباشرة. بدلًا من ذلك، يُخفى العنوان بمزيج ذكي من ترميز Base64 وعكس السلاسل النصية، ولا يتحول إلى رابط Pastee فعّال إلا بعد فك الترميز. وتتفادى هذه الحيلة أدوات التحليل الساكن الأساسية التي قد تلتقط العنوان لولا ذلك.
.NET عديم الملفات: تنكّر البرمجيات الخبيثة الجديد
الخطوة التالية لـ DesckVB RAT هي ما يميّزه: التنفيذ عديم الملفات. فبدلًا من إسقاط ملفات تنفيذية تقليدية، يقوم بتحميل تجميعة .NET، ClassLibrary3.dll، مباشرةً إلى الذاكرة باستخدام الانعكاس (reflection). وهذا لا يمحو أثره الجنائي فحسب، بل يُحبط أيضًا العديد من حلول مضادات الفيروسات التي تعتمد على فحص القرص.
يقوم مُحمِّل .NET، عبر إساءة استخدام الأداة الشرعية InstallUtil.exe، باستدعاء طريقة (prFVI) للتعامل مع الاتصالات المُشفَّرة مع بنية تحتية يسيطر عليها المهاجم. كما تُحقن وحدات إضافية مثل مسجّل المفاتيح، وكاشف مضاد الفيروسات، وأداة التجسس عبر كاميرا الويب - وكل ذلك دون لمس القرص.
التخفّي والاستمرارية
لحقن العمليات، يستفيد DesckVB RAT من استدعاءات واجهة برمجة تطبيقات Windows مثل CreateProcessA لإنشاء عمليات جديدة في حالة معلّقة، ثم يحقن حمولته النهائية - متنكرةً باسم Microsoft.exe. وتُخزَّن تهيئة البرمجية الخبيثة، بما في ذلك نطاقات C2 والمنافذ، على شكل مصفوفات مُشفَّرة لا تُفك إلا وقت التشغيل لإبقاء المحللين في الظلام.
تكشف مراقبة الشبكة أن كل الاتصال مع مشغّلي البرمجية الخبيثة يتم عبر اتصالات مُشفَّرة بـ TLS، ما يدمج النشاط الخبيث ضمن حركة الويب اليومية عبر HTTPS. وهذا يجعل من شبه المستحيل على أجهزة الأمن التقليدية التمييز بين تهريب بيانات RAT والتصفح الشرعي.
الخلاصة: التهديد غير المرئي
يُعد DesckVB RAT نذيرًا لعصر جديد من البرمجيات الخبيثة - عصر تتلاقى فيه تقنيات «العيش على موارد النظام»، والتنفيذ عديم الملفات، والتشويش متعدد الطبقات لصناعة تهديدات شبه غير مرئية. ومع ازدياد تطور المهاجمين، يجب على المدافعين التكيّف بسرعة، وإعادة التفكير في استراتيجيات الكشف التي تركز فقط على الملفات والتواقيع. في لعبة الذاكرة هذه، لن ينجو إلا الأكثر يقظة.
WIKICROOK
- البرمجيات الخبيثة عديمة الملفات: البرمجيات الخبيثة عديمة الملفات هي برمجيات ضارة تعمل في ذاكرة الحاسوب، متجنبةً التخزين على القرص، ما يجعل اكتشافها صعبًا على أدوات الأمن التقليدية.
- التشويش: التشويش هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
- حقن العمليات: حقن العمليات هو عندما تختبئ البرمجيات الخبيثة داخل عمليات برمجيات شرعية، ما يجعل اكتشاف التهديد وإزالته أصعب على أدوات الأمن.
- أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
- العيش: «العيش على موارد النظام» يعني أن المهاجمين يستخدمون أدوات النظام الموثوقة (LOLBins) لتنفيذ أفعال خبيثة، ما يجعل نشاطهم خفيًا وصعب الاكتشاف.
