التخفي بين البكسلات: كيف يحوّل PureRAT الصور البريئة إلى متسللين غير مرئيين

تبدأ بنقرة واحدة - اختصار يبدو غير مؤذٍ على سطح المكتب. لكن بدلًا من تشغيل تطبيقك المفضل، يفتح بهدوء الباب أمام غازٍ غير مرئي. هذه هي الحقيقة المقلقة وراء أحدث حملة PureRAT، هجوم سيبراني متطور يسلّح صور PNG البريئة المظهر لتسليم برمجيات خبيثة عديمة الملفات، تاركًا بالكاد أثرًا يمكن للمدافعين تتبعه.

المخطط معقد بقدر ما هو خبيث. في جوهره سلسلة عدوى متعددة المراحل: اختصار .LNK مُسلّح يطلق أمر PowerShell مخفيًا، والذي يقوم بدوره بتنزيل ملف VBScript شديد الإخفاء. هذا المُحمِّل، المتنكر والمُحشّى بشيفرة خردة لتفادي فحوصات الأمان، ينسخ نفسه باسم عشوائي ويُعدّ مهمة مجدولة لا تعرف الكلل، تضمن تشغيله كل دقيقة - من دون أي تفاعل من المستخدم.

لكن السحر الحقيقي يحدث في الذاكرة. بعد ذلك يجلب البرنامج الخبيث زوجًا من ملفات PNG من خادم بعيد. تبدو هذه الصور غير مؤذية، لكن بين بكسلاتها تختبئ حمولات تنفيذية محمولة (PE) مُرمّزة بـ base64. ومن خلال سلسلة من استبدالات الأحرف، والعكس، وفك الترميز، يستخرج النص البرمجي تجميعة .NET مباشرة إلى الذاكرة. لا يتم إسقاط أي ملف تنفيذي على القرص. العملية جراحية: تُحمَّل الشيفرة الخبيثة وتُشغَّل داخل مساحة ذاكرة PowerShell نفسها، ما يجعل أدوات مكافحة الفيروسات التقليدية عمياء عن وجودها.

لقد صمّم مشغلو PureRAT طبقات متعددة من مراوغة الدفاعات. يفحص البرنامج الخبيث محيطه بحثًا عن دلائل على أنه يعمل داخل آلة افتراضية أو صندوق رمل - وهي أدوات شائعة يستخدمها محللو الأمن. إذا استشعر الخطر، ينسحب بهدوء. وإن لم يفعل، يستغل تفريغ العمليات، فيحقن شيفرته داخل عملية Windows شرعية وموقّعة (Msbuild.exe)، ليزيد من تمويه نشاطه. يبقى Msbuild الأصلي دون مساس على القرص، بينما تعمل النسخة الموجودة في الذاكرة كدمية لشيفرة المهاجم.

الحمولة النهائية هي زرعة PureRAT معيارية، محمية بأدوات إخفاء تجارية لإحباط مهندسي العكس. وبمجرد تثبيتها، تُنشئ بصمة للنظام المخترق، فتُفهرس برامج الحماية وتفاصيل العتاد وامتيازات المستخدم. ومع إضافات قابلة للتنزيل، يمكن للمهاجمين تصعيد عملياتهم: من تسجيل ضغطات المفاتيح والتجسس عبر سطح المكتب البعيد إلى اختطاف كاميرا الويب وسرقة بيانات الاعتماد.

هذه الحملة تذكير صارخ: المهاجمون يبتكرون باستمرار، مستخدمين صيغ ملفات يومية وأدوات نظام موثوقة لنسج تهديدات معقدة تكاد تكون غير مرئية. وبالنسبة للمدافعين، فهي دعوة للنظر إلى ما وراء الواضح - مراقبة نشاط PowerShell المريب، والمهام المجدولة غير المعتادة، والانتهاكات الدقيقة لداخلية Windows. في معركة سطح مكتبك، قد تصبح حتى أكثر الصور براءة الآن ذئبًا في ثياب حمل.

ومع استمرار مجرمي الإنترنت في طمس الخط الفاصل بين الحميد والخبيث، تصبح اليقظة والكشف المتقدم أكثر أهمية من أي وقت مضى. في المرة القادمة التي تفتح فيها ملف PNG، تذكّر: في عالم الحرب السيبرانية الحديثة، غالبًا ما تختبئ أعظم الأخطار على مرأى من الجميع.

WIKICROOK

• إخفاء البيانات: يُخفي إخفاء البيانات رسائل أو شيفرة سرية داخل ملفات يومية، مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
• البرمجيات الخبيثة عديمة الملفات: البرمجيات الخبيثة عديمة الملفات هي برمجيات ضارة تعمل في ذاكرة الحاسوب، متجنبة التخزين على القرص، ما يجعل اكتشافها صعبًا على أدوات الأمان التقليدية.
• تفريغ العمليات: تفريغ العمليات تقنية يختبئ فيها البرنامج الخبيث داخل ذاكرة برنامج شرعي، ما يسمح له بتفادي الاكتشاف وتنفيذ أفعال خبيثة.
• PowerShell: PowerShell أداة برمجة نصية في Windows تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أفعال خبيثة خلسة.
• تجاوز UAC: تجاوز UAC طريقة يستخدمها المهاجمون لتفادي التحكم بحساب المستخدم في Windows، ما يسمح للبرمجيات الخبيثة بالحصول على امتيازات مرتفعة دون علم المستخدم أو موافقته.