Netcrook Logo
👤 KERNELWATCHER
🗓️ 14 Jan 2026  

ملفات نصية وPowerShell ومتاهة من الخداع: داخل آلة برمجيات SHADOW#REACTOR الخبيثة

العنوان الفرعي: هجوم خفي متعدد المراحل يستخدم أدوات البرمجة النصية اليومية وحمولات نصية لتمرير Remcos RAT إلى أنظمة Windows دون اكتشاف.

يبدأ الأمر بملف بسيط - حمولة نصية، برنامج نصي، لا شيء خارج عن المألوف. لكن خلف الكواليس، تتشكل بهدوء متاهة من الشيفرة المُموّهة وأدوات Windows المختطَفة لتجميع سلاح. إن حملة SHADOW#REACTOR، التي فصّلها باحثون أمنيون مؤخرًا، دليل على أن المهاجمين لم يعودوا بحاجة إلى ثغرات مخصّصة أو هجمات يوم-صفر لافتة لاختراق الشركات. بدلًا من ذلك، يستخدمون الأدوات ذاتها التي يثق بها مسؤولو الأنظمة، محوّلين سهولة الاستخدام إلى اختراق خفي.

تشريح سلسلة الهجوم

تبدأ العدوى بنص Visual Basic Script (VBS) يبدو غير مؤذٍ، وغالبًا ما يُسلَّم عبر الهندسة الاجتماعية. عند تشغيله، لا يطلق هذا النص البرمجي البرمجيات الخبيثة مباشرة. بل يعمل كميسّر صامت، مُشغّلًا أوامر PowerShell مُموّهة ومُفسَدة عمدًا بمحارف بديلة. يضمن هذا الالتفاف ألا يبقى شيء خبيث بشكل واضح في النص الأصلي - فقط جسر إلى المرحلة التالية.

يتصدر PowerShell المشهد بعد ذلك، إذ يجلب ملفات نصية بعيدة مثل qpwoe64.txt أو qpwoe32.txt بحسب معمارية نظام الضحية. هذه الملفات أكثر من مستندات بريئة: فهي محشوة بحمولات مُرمّزة ومُحوّلة يفك PowerShell ترميزها داخل الذاكرة، دون أن تلامس القرص بصيغتها الخطرة. ولا يتقدم الهجوم إلا عندما تجتاز هذه الملفات فحصًا للحد الأدنى من الحجم - لضمان اكتمال التنزيل.

ثم يُحمَّل المحتوى المفكوك كـتجميعة .NET، لكن ليس أي تجميعة. إنها محمية بواسطة .NET Reactor، وهي أداة تجارية تُربك الشيفرة وتشفّر السلاسل النصية وتتحدى التحليل الساكن. يواصل هذا المُحمِّل سباق التتابع، مفككًا تشفير تعليمات إضافية وجالبًا مزيدًا من الحمولات - وكل خطوة محاطة بتشفير مخصص وحيل مضادة للتحليل.

يتضمن الفصل الأخير MSBuild.exe، وهي أداة شرعية من Microsoft. يسلّم المُحمِّل حمولة Remcos RAT المفككة وبيانات الإعداد إلى MSBuild، ممزوجًا الهجوم ضمن نشاط النظام الطبيعي. ومن خلال إساءة استخدام هذه «الثنائيات التي تعيش على موارد النظام»، تتجاوز SHADOW#REACTOR العديد من ضوابط الأمان التقليدية، ما يجعل الكشف والتحليل الجنائي بالغَي الصعوبة.

لماذا يهم هذا الهجوم

تُعد SHADOW#REACTOR تذكيرًا صارخًا بأن مجرمي الإنترنت سادة التكيّف. فمن خلال ربط لغات البرمجة النصية اليومية معًا، وإساءة استخدام ثنائيات النظام الموثوقة، وإخفاء الشيفرة داخل ملفات نصية، يبنون برمجيات خبيثة متينة ومعيارية وشبه غير مرئية. وبالنسبة للمدافعين، فهي جرس إنذار: يجب أن تمتد اليقظة إلى ما وراء تواقيع البرمجيات الخبيثة التقليدية، وأن تركز على الشذوذات السلوكية وأنماط تنفيذ النصوص البرمجية وسوء الاستخدام الدقيق للأدوات الروتينية.

WIKICROOK

  • PowerShell: PowerShell أداة برمجة نصية في Windows تُستخدم للأتمتة، لكن المهاجمين كثيرًا ما يستغلونها لتنفيذ أفعال خبيثة بتخفٍّ.
  • التمويه: التمويه هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمان.
  • Living: «العيش على موارد النظام» يعني أن المهاجمين يستخدمون أدوات النظام الموثوقة (LOLBins) لأفعال خبيثة، ما يجعل نشاطهم خفيًا وصعب الاكتشاف.
  • Remcos RAT: Remcos RAT حصان طروادة للوصول عن بُعد يتيح للمهاجمين التحكم بالأنظمة المصابة وسرقة البيانات والتجسس ونشر برمجيات خبيثة إضافية عن بُعد.
  • .NET Reactor: .NET Reactor أداة تحمي تطبيقات .NET من الهندسة العكسية والعبث والاستخدام غير المصرح به عبر ميزات التمويه والترخيص.
SHADOW#REACTOR PowerShell Remcos RAT
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news