أصبحت المؤسسات المالية مثل شركات التداول والوساطة هدفًا لحملة خبيثة جديدة تقوم بنشر حصان طروادة للتحكم عن بُعد (RAT) غير معروف سابقًا يسمى GodRAT.
ووفقًا لتحليل تقني نشره الباحث سوراب شارما من شركة Kaspersky، فإن الهجوم يتم عبر توزيع ملفات .SCR (شاشات توقف) متنكرة في هيئة مستندات مالية باستخدام تطبيق Skype Messenger.
آلية عمل الهجوم
بدأ رصد هذه الأنشطة منذ سبتمبر 2024، واستمرت حتى أغسطس 2025 مستهدفة دولًا مثل: هونغ كونغ، الإمارات، لبنان، ماليزيا، والأردن.
الهجوم يعتمد على تقنية إخفاء المعلومات داخل الصور (Steganography)، حيث تُزرع شيفرات ضارة داخل ملفات .JPG لتفعيل التحميل من خادم التحكم (C2).
ملفات SCR تعمل كملفات تنفيذية ذاتية الاستخراج، تحتوي على DLL خبيث يتم تحميله بجانب ملف شرعي. يقوم هذا الـ DLL باستخراج الشيفرة الخبيثة من صورة ثم ينشر GodRAT على الجهاز.
GodRAT: نسخة مطورة من Gh0st RAT
تم تطوير GodRAT استنادًا إلى Gh0st RAT الشهير (الذي تسرب كوده المصدري عام 2008 واستُخدم على نطاق واسع من قبل مجموعات قرصنة صينية).
-
يستخدم GodRAT مبدأ الإضافات (Plugins) لتوسيع وظائفه.
-
يمكنه جمع المعلومات الحساسة، تشغيل أوامر عن بُعد، ونشر برمجيات أخرى مثل AsyncRAT.
-
يشبه في تطوره بابًا خلفيًا آخر يسمى AwesomePuppet الذي ظهر عام 2023 ونُسب لمجموعة Winnti (APT41) الصينية.
قدرات GodRAT
بمجرد تثبيته، يقوم GodRAT بالتالي:
-
التواصل مع خادم التحكم عبر TCP.
-
جمع معلومات النظام وقائمة برامج مكافحة الفيروسات المثبتة.
-
استقبال أوامر مثل:
-
حقن DLL في الذاكرة.
-
إغلاق العملية وإنهاء الاتصال.
-
تنزيل ملفات من روابط محددة وتشغيلها باستخدام CreateProcessA API.
-
فتح روابط في Internet Explorer.
-
المكونات الإضافية (Plugins)
أحد الإضافات التي ينشرها GodRAT هو FileManager DLL، والذي يسمح له بـ:
-
استعراض الملفات والمجلدات.
-
تنفيذ عمليات بحث عن ملفات معينة.
-
تحميل برمجيات إضافية مثل:
-
Password Stealer لسرقة كلمات مرور متصفحي Google Chrome و Microsoft Edge.
-
أحصنة طروادة أخرى مثل AsyncRAT.
-
انتشار الكود المصدري
كشفت كاسبرسكي أنها وجدت الكود المصدري الكامل لـ GodRAT (العميل والمُنشئ Builder) مرفوعًا على منصة VirusTotal في يوليو 2024.
يتيح الـ Builder إنشاء ملف تنفيذي أو DLL خبيث، مع إمكانية حقن الكود داخل ملفات شرعية مثل:
-
svchost.exe، cmd.exe، cscript.exe، curl.exe، wscript.exe، QQMusic.exe، QQScLauncher.exe.
كما يمكن حفظ الحمولة النهائية بصيغ مختلفة: .exe، .com، .bat، .scr، .pif.
ديمومة الأكواد القديمة
أكدت كاسبرسكي أن الأكواد القديمة مثل Gh0st RAT التي ظهرت قبل عقدين ما زالت مستخدمة حتى اليوم، بعد إعادة تصميمها وتخصيصها لتستهدف ضحايا جدد.
واكتشاف GodRAT يثبت أن هذه القواعد البرمجية القديمة ما زالت حية في مشهد الأمن السيبراني الحديث.
