تقرير يكشف عن رصد برمجية حصان طروادة تستهدف المؤسسات المالية

اكتشف فريق الأبحاث GReAT من كاسبرسكي برمجية خبيثة جديدة تُدعى GodRAT، وهي تعتبر نوعًا من حصان طروادة الذي يُستخدم للوصول عن بُعد، وقد تم رصد هذه البرمجية في ملفات شاشة توقف تتخفى على هيئة مستندات مالية، وجرى إرسالها عبر تطبيق سكايب حتى مارس 2025، ثم انتقلت لاستهداف المؤسسات المالية عبر قنوات أخرى، واستهدفت بشكل أساسي شركات صغيرة ومتوسطة في مجتمعات عدة بما في ذلك الإمارات وهونغ كونغ والأردن ولبنان.

في إطار استراتيجيتها الإجرامية، كشفت الجهة المهاجمة عن GodRAT حيث تم العثور عليها في الشيفرات المصدرية لأحد العملاء، وعُثر على هذه البرمجية بعدما تم رفع ملفها الخبيث لأداة الفحص في يوليو 2024، ما يعكس استخدام تلك البرمجيات لأغراض استهداف المؤسسات بشكل محسوب، مما يساهم في اتساع دائرة التهديدات السيبرانية.

تحمل الأداة المرافقة GodRAT إمكانية توليد ملفات قابلة للتنفيذ بصيغة EXE مع القدرة على استخدام تنسيقات متعددة لملفات DLL، كما تم تجهيزها بوسائل لتضليل الضحايا بإخفاء الملفات السامة تحت أسماء مألوفة مثل svchost.exe وcmd.exe، ويعتمد المهاجمون على تقنيات متطورة لإخفاء المعلومات بما يضمن لهم النجاح في تنفيذ هجماتهم دون اكتشافها.

تقوم GodRAT بتحميل شيفرة خبيثة من خادم القيادة والتحكم، حيث يتم الاتصال عبر بروتوكول TCP، مما يزيد من قدرة المهاجمين على إدخال البرمجية على الأنظمة المستهدفة مع استخدام المنفذ المحدد في إعدادات النظام الذي يتم استغلاله، وهذا يعكس التكامل والمرونة في تنفيذ الهجمات.

تشمل المعلومات التي تجمعها GodRAT تفاصيل دقيقة عن نظام التشغيل واسم العملية ومعرفها وحساب المستخدم المرتبط، كما تتفحص البرامج المضادة للفيروسات الموجودة في الجهاز، مما يعكس مستوى التطور والذكاء في استهداف الأنظمة، ويسلط الضوء على ضرورة تعزيز التدابير الأمنية لدى المؤسسات المهتمة بحماية معلوماتها.

بعد تثبيت البرمجية، قام المهاجمون بإضافة FileManager لاستكشاف الأنظمة المُستهدفة واستغلالها، حيث تم استخدام برنامج لسرقة كلمات المرور يستهدف متصفحي كروم وإيدج لجمع معلومات تسجيل الدخول، مما يزيد من خطر تسريب المعلومات الحساسة، ويجب على الشركات اتخاذ تدابير صارمة لمواجهة تلك التهديدات بكفاءة.

يوضح “سوراب شارما”، الباحث الأمني بكاسبرسكي، أن GodRAT تمثل نسخة متقدمة من AwesomePuppet، حيث يظهر تشابهها مع برمجيات سابقة مثل Gh0st RAT، مما يؤكد الروابط المحتملة بينها وبين مجموعة Winnti APT الإجرامية، ويشير إلى أن هذه البرمجيات تستمر في الظهور كتهديدات مستمرة للمؤسسات.

تظهر أساليب انتشار البرمجيات الخبيثة مع مقارنة الأكواد الابداعية أن التهديدات السيبرانية تواصل التطور، إذ تعتمد الجماعات الإجرامية على تحسين استخدام قواعد بيانات الشيفرات القديمة لتوسيع دائرة ضحاياها، مما يبرز الحاجة الملحة لإعادة تقييم استراتيجيات الأمن السيبراني لدى المؤسسات بشكل دوري.

اكتشاف GodRAT يوضح أن الأدوات المعروفة منذ زمن ما زالت فعالة في العمل، مما يظهر أن عدة سنوات من التطوير لا تزال تساهم في صمودها كأدوات فعّالة في العالم السيبراني المعاصر، وبالتالي يجب أن تكون المؤسسات متأهبة لمواجهة هذا النوع من التهديدات المستمرة.

لضمان سلامة المؤسسة، يُنصح بالتحديث الدوري أنظمة التشغيل والبرامج الأمنية حيث يسعى المجرمون عبر الثغرات الأمنية إلى اختراق الأنظمة، كما يُستحسن تطبيق حلول أمنية متعددة تضمن الحماية الفورية من التهديدات، فضلاً عن رصد الأنشطة المشبوهة.

من الضروري تفعيل خيار “إظهار امتدادات الملفات” ضمن إعدادات أنظمة التشغيل لتسهيل اكتشاف الملفات الضارة، فاحرص على تجنب الملفات المشبوهة ذات التنسيقات المعروفة مثل exe وvbs، فهذا يُساعد في تقليل المخاطر المرتبطة بأحصنة طروادة الضارة.

تجنب الوثوق بالملفات المعروفة التي يمكن أن تكون خبيثة، فقد يتلاعب المهاجمون بالتنسيقات لاختراق الأنظمة، لذا يجب على الأفراد أن يتعاملوا بحذر مع كل الملفات وخصوصًا التي تبدو وكأنها مقاطع فيديو أو مستندات، مما يعكس أهمية الوعي الأمني لدى المستخدمين في عالم اليوم.