Netcrook Logo
👤 AGONY
🗓️ 12 Jan 2026   🌍 Asia

عملاء مزدوجون رقميون: ValleyRAT_S2 يتنكر كبرمجيات لنهب الأسرار المالية

موجة جديدة من التجسس السيبراني تستغل برمجيات خبيثة متخفية في المناطق الناطقة بالصينية، تمتزج مع التطبيقات الموثوقة لسرقة بيانات مالية حساسة.

تخيّل هذا: تقوم بتنزيل أداة إنتاجية تبدو بريئة لتبسيط سير عملك، أو تحدّث تطبيقًا صينيًا شائعًا تثق به. دون أن تدري، تتسلل عملية تجسس سيبراني متطورة بهدوء إلى نظامك، مستعدة لشفط أكثر معلوماتك المالية حساسية. هذه هي الحقيقة بالنسبة لعدد لا يُحصى من المؤسسات في الصين وهونغ كونغ وتايوان وجنوب شرق آسيا مع تصاعد حملة ValleyRAT_S2 في عملياتها السرية.

كشف قناع ValleyRAT_S2: تشريح حملة تخفٍّ

يمثل ValleyRAT_S2 أحدث تطور في التجسس السيبراني: حصان طروادة للوصول عن بُعد مكتوب بلغة C++ ومصمم بعناية ليمتزج مع المشهد الرقمي لأهدافه. متنكرًا في هيئة مولدات جداول بيانات مدعومة بالذكاء الاصطناعي أو برمجيات مقرصنة، يستدرج المستخدمين بوعد الإنتاجية - بينما يستعد بصمت لاختراق دفاعاتهم.

أخطر خدع الحملة؟ التحميل الجانبي لـ DLL. هنا، يُدخل المهاجمون مكتبات خبيثة - مثل steam_api64.dll - إلى مجلدات تطبيقات معروفة. وعندما تبدأ هذه التطبيقات، تنفّذ البرمجية الخبيثة دون علمها، والتي تحمل تواقيع شيفرة مزيفة من شركات شرعية مثل Hangzhou Salfan Technology Co., Ltd. تتيح هذه الحيلة لـ ValleyRAT_S2 الانزلاق متجاوزًا أنظمة مكافحة الفيروسات والتحكم في حساب المستخدم، مختبئًا على مرأى من الجميع.

إلى جانب البرمجيات المزيفة، توصل رسائل التصيّد المستهدفة مستندات مفخخة وأرشيفات مضغوطة. وفي عدة حالات، استولى المهاجمون حتى على آليات تحديث برمجيات حقيقية في برامج صينية شائعة، محوّلين الثقة نفسها إلى سلاح لتوزيع حمولاتهم الخبيثة.

وبمجرد دخوله، يبدأ ValleyRAT_S2 العمل: يمسح النظام بحثًا عن تفاصيل نظام التشغيل ومفاتيح السجل والعمليات النشطة والملفات. وباستخدام «مجدول مهام» ويندوز ونصوص المراقبة (watchdog)، يضمن البقاء عبر إعادة التشغيل ومحاولات الإزالة. ويتيح التصميم المعياري للبرمجية الخبيثة للمهاجمين رفع حمولات جديدة، وتنفيذ أوامر عن بُعد، وحقن الشيفرة في عمليات أخرى، وسرقة بيانات الاعتماد متى شاؤوا - كل ذلك أثناء التواصل مع خوادم القيادة والتحكم المضمّنة مسبقًا عبر بروتوكول TCP مخصص.

لاحظ باحثون أمنيون، مثل Apophis133، أن البرمجية الخبيثة تتنكر كملفات من ألعاب شائعة مثل Counter-Strike: Global Offensive، ما يزيد الأمور التباسًا أمام المدافعين. وتُحث المؤسسات على مراقبة النشاط المشبوه في مجلدات %TEMP% و%APPDATA%، ورصد حركة الشبكة بحثًا عن اتصالات غير معتادة، وتدريب الموظفين على اكتشاف حيل الهندسة الاجتماعية التي تفتح الباب أمام هذه الهجمات.

الكلفة الحقيقية: الثقة والبيانات والعنصر البشري

ValleyRAT_S2 ليس مجرد تهديد تقني - إنه طلقة تحذيرية في صميم الثقة الرقمية. فمن خلال استغلال فضول البشر ومصداقية البرمجيات المعروفة، يذكّرنا هؤلاء المهاجمون بأن اليقظة في العصر الرقمي مسؤولية الجميع. ومع استمرار مجرمي الإنترنت في صقل أساليبهم، يجب على المؤسسات مضاعفة جهودها في تثقيف المستخدمين، وتعزيز الدفاعات التقنية، والسعي الدؤوب وراء الخصم الخفي المتربص خلف أيقونات مألوفة.

WIKICROOK

  • حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
  • DLL Side: DLL Side هي تقنية يخدع فيها المهاجمون البرامج لتحميل ملفات DLL خبيثة، متجاوزين الأمان والحصول على وصول أو تحكم غير مصرح به.
  • Command: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • توقيع الشيفرة: توقيع الشيفرة هو عملية توقيع البرمجيات رقميًا لإثبات أنها من مصدر موثوق ولم يتم العبث بها.
  • التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين لكشف بيانات حساسة أو النقر على روابط خبيثة.
Cyber-espionage ValleyRAT_S2 Remote Access Trojan
AGONY AGONY
Elite Offensive Security Commander
← Back to news