JelusRAT
JelusRAT هو حصان طروادة للتحكم عن بُعد (RAT) يمنح مجرمي الإنترنت سيطرة خفية على أجهزة الكمبيوتر المخترقة. تم تطويره بلغة C++، ويعتمد على مُحمِّل متخصص لفك تشفير حمولته الرئيسية وإطلاقها. بدلاً من تثبيت نفسه كملف تقليدي، يُنفَّذ البرنامج الخبيث مباشرةً في الذاكرة، مما يقلل بشكل كبير من حجمه على القرص ويجعل اكتشافه أكثر صعوبة. في حال اكتشاف JelusRAT على نظام ما، فإن إزالته فورًا أمر بالغ الأهمية لمنع المزيد من الاختراقات.
جدول المحتويات
أداة التحميل المتخفية والتنفيذ بدون ملفات
تبدأ سلسلة العدوى ببرنامج تحميل يتنكر في هيئة تطبيق شرعي. يخفي هذا المكون جزأين مشفرين: أحدهما يحتوي على البرمجية الخبيثة الأساسية، والآخر يخزن بيانات التكوين. بمجرد تفعيله، يقوم برنامج التحميل بفك تشفير الحمولة الرئيسية وإطلاقها مباشرةً في ذاكرة النظام، ثم يحذف نفسه لمحو الأدلة. صُممت هذه التقنية "غير المعتمدة على الملفات" خصيصًا لتجاوز وسائل الحماية الأمنية التقليدية والتحليل الجنائي الرقمي.
معالجة التكوين وتكتيكات التخفي
بعد التنفيذ، يصل البرنامج الخبيث الرئيسي إلى ملف إعدادات يُسمى Info.ini لاستخراج تعليمات التشغيل. ومباشرةً بعد قراءة الملف، يقوم بحذفه لتقليل آثار الاختراق. البيانات الموجودة داخل هذا الملف مُشفرة، ويستخدم البرنامج الخبيث قيمةً صغيرةً مُضمنةً في البايت الأول لفك تشفير التعليمات قبل تنفيذها.
إمكانيات التحكم عن بعد ومعالجة الأوامر
صُمم برنامج JelusRAT الخبيث لتلقي مجموعة واسعة من الأوامر من خادم المهاجم. بإمكانه تعريف نفسه كعملية نظام حيوية، ما يعني أن أي محاولة لإيقافه قسرًا قد تؤدي إلى ظهور شاشة الموت الزرقاء في نظام ويندوز، مما يُثني عن إزالته يدويًا. كما يستطيع البرنامج تعطيل هذه الخاصية، أو تغيير طريقة تواصله مع بنية التحكم والسيطرة الخاصة به، أو إيقاف تشغيله تلقائيًا عند تلقيه التعليمات.
منصة معيارية مدعومة بالمكونات الإضافية
بدلاً من احتواء جميع الوظائف الخبيثة داخلياً، يعمل برنامج JelusRAT بشكل أساسي كإطار عمل. إذ يمكنه تنزيل إضافات على شكل ملفات DLL من خادم المهاجم، مما يوسع وظائفه حسب الحاجة. وتُقدَّم معظم قدراته من خلال هذه الوحدات، مما يسمح للمهاجمين بتكييف البرمجية الخبيثة مع أهداف مختلفة دون الحاجة إلى إعادة نشر الحمولة بالكامل.
يمكن استغلال برنامج JelusRAT لإدخال أنواع أخرى من البرامج الضارة، بما في ذلك:
- برامج الفدية، وبرامج تعدين العملات المشفرة، وأدوات سرقة المعلومات
- برامج خبيثة إضافية تعمل على تعميق أو توسيع نطاق اختراق النظام
لماذا يمثل برنامج JelusRAT خطرًا جسيمًا
يُعدّ برنامج JelusRAT تهديدًا خفيًا ومرنًا للغاية. فبفضل تنفيذه في الذاكرة، وسلوكه في حذف نفسه تلقائيًا، وتصميمه القائم على الإضافات، يتمكن من التخفي مع الحفاظ على سيطرة مستمرة وقابلة للتكيف على الأنظمة المصابة. هذه الخصائص تجعله خطيرًا للغاية، إذ يُمكن استخدامه بسهولة كمنصة انطلاق لبرامج خبيثة أكثر تدميرًا وعمليات إجرامية إلكترونية واسعة النطاق.
نواقل العدوى الشائعة وطرق انتشارها
تنتشر البرامج الضارة مثل JelusRAT غالبًا عبر الهندسة الاجتماعية والممارسات الخادعة على الإنترنت. عادةً ما يستدرج المهاجمون الضحايا لتشغيل ملفات خبيثة مُتنكرة في هيئة محتوى شرعي، بما في ذلك الملفات التنفيذية، والبرامج النصية، وتنسيقات المستندات مثل Word وExcel وPDF وصور ISO. وتعتمد حملات الإصابة في كثير من الأحيان على رسائل البريد الإلكتروني التصيدية، والإعلانات المزيفة، وعمليات الاحتيال في الدعم الفني، والبرامج المقرصنة، والمواقع الإلكترونية المخترقة لإيصال هذه البرامج الضارة.
تشمل قنوات التوزيع الأخرى المعروفة محركات أقراص USB المصابة، وشبكات الند للند، وبرامج التنزيل التابعة لجهات خارجية، واستغلال ثغرات البرامج غير المُعالجة. في معظم الحالات، تحدث الإصابات الناجحة لأن المستخدمين يُخدعون للقيام بإجراءات تُتيح للبرامج الضارة، دون علمهم، فرصةً للتسلل إلى النظام.
