Overlord RAT

أوفرلورد هو حصان طروادة للتحكم عن بُعد (RAT) تم تطويره بلغة البرمجة Go، وهو مصمم لاستهداف أنظمة ويندوز وماك أو إس. سُجلت أولى حالات اكتشافه في كوريا الجنوبية، مما أثار مخاوف بشأن إمكانية استخدامه في هجمات حقيقية. على أنظمة ماك أو إس، يستطيع هذا البرنامج الخبيث إنشاء اتصال دائم مع البنية التحتية التي يتحكم بها المهاجم، والتقاط مدخلات المستخدم، ومحاولة التلاعب بالمتصفح. يُنصح بشدة بإزالته فور اكتشافه لمنع المزيد من الاختراقات.

التركيب التقني والتطوير المستمر

تم تجميع البرمجية الخبيثة كملف تنفيذي لنظام macOS Apple Silicon (arm64) باستخدام لغة Go 1.25.6. شفرة المصدر متاحة للعموم على منصة GitHub بموجب ترخيص مفتوح المصدر، مدعومة بمئات التحديثات والتطوير النشط المستمر. يشير هذا المستوى من الشفافية والمساهمة المتواصلة إلى أن قدرات Overlord، وخاصة على نظام macOS، قد تتوسع بشكل كبير في المستقبل القريب، مما يزيد من خطورتها المحتملة.

المثابرة وعمليات القيادة والسيطرة

بمجرد تثبيت برنامج Overlord الخبيث على جهاز macOS، يبدأ بالاتصال بخادم التحكم والسيطرة (C2)، حيث ينتظر تعليمات إضافية من المشغل. وتُفعّل آليات استمرارية لضمان استمرار تنفيذه بعد إعادة تشغيل النظام. إضافةً إلى ذلك، يلتقط البرنامج الخبيث ضغطات لوحة المفاتيح وحركة الماوس، وينقل هذه البيانات عبر قنوات داخلية لتزويد المهاجمين برؤية فورية لسلوك المستخدم.

إمكانيات التحكم عن بعد ومجموعة الأوامر

يتضمن برنامج Overlord مجموعة منظمة من الأوامر التي تُمكّن من إدارة الأنظمة المصابة عن بُعد. صُممت هذه الأوامر لتسهيل المراقبة والتفاعل مع النظام والتلاعب بالمتصفح.

• يقوم الأمر hvnc_start ببدء جلسة سطح مكتب مخفية وبثها إلى المهاجم.
• تحاول أوامر hvnc_start_chrome_injected و hvnc_start_browser_injected إعادة تشغيل متصفحات مثل Chrome مع تعديلات ضارة تم حقنها.
• يقوم الأمر hvnc_lookup بحل مسارات الملفات القابلة للتنفيذ على النظام المخترق.

على الرغم من أن هذه الإمكانيات أكثر نضجًا على نظام التشغيل ويندوز، إلا أنها توضح الإطار العام لوظائف التحكم عن بعد المتقدمة.

قيود المنصة والثغرات الوظيفية

بعض الميزات المتقدمة الموجودة في قاعدة التعليمات البرمجية لا تعمل بكامل طاقتها على نظام macOS. فوظائف سطح المكتب الافتراضي المخفي وآليات حقن مكتبات الارتباط الديناميكي (DLL) موجودة حاليًا كعناصر نائبة فقط، وتُظهر رسائل تُشير إلى عدم دعم النظام الأساسي عند تنفيذها. وبالمثل، فإن حقن العمليات في الجلسات المخفية واستخراج الحمولة لا يزالان حصريين لبيئات Windows في هذه المرحلة. وعلى الرغم من هذه القيود، تظل ميزات المراقبة الأساسية وميزات الاستمرارية تعمل بكامل طاقتها على كلا النظامين الأساسيين.

تقييم المخاطر الأمنية وتأثيرها

حتى في وضعه الحالي، يُشكّل برنامج Overlord خطرًا كبيرًا على الأمن السيبراني. فالوصول المستمر، بالإضافة إلى التقاط المدخلات، يُتيح للمهاجمين مراقبة نشاط المستخدم على نطاق واسع، مما يُعرّض النظام لسرقة بيانات الاعتماد، والوصول غير المصرح به إلى الحسابات، والمراقبة طويلة الأمد. وعلى الرغم من أن ميزات التلاعب المتعلقة بالمتصفح أقل فعالية على نظام macOS، إلا أنها تُضيف مخاطر إضافية.

نواقل العدوى وطرق التوزيع

لا تزال استراتيجية التوزيع الدقيقة لفيروس أوفرلورد غير مؤكدة. ومع ذلك، تشير نواقل العدوى الشائعة المرتبطة بالفيروسات اللمفاوية التنفسية بقوة إلى استخدام آليات توصيل خادعة وانتهازية.

رسائل البريد الإلكتروني الاحتيالية وحملات الهندسة الاجتماعية التي تخدع المستخدمين لتنفيذ ملفات ضارة
تضمين برامج مقرصنة أو برامج اختراق أو برامج تثبيت مزيفة من مصادر خارجية غير موثوقة
التنزيلات التلقائية، والروابط الخبيثة في منصات المراسلة، وشبكات مشاركة الملفات من نظير إلى نظير

في سيناريوهات أكثر تقدماً، قد تنتشر برامج الوصول عن بعد (RATs) بشكل جانبي عبر الشبكات المحلية أو تنتشر عبر أجهزة التخزين القابلة للإزالة بمجرد إنشاء الوصول الأولي.

التقييم النهائي والاعتبارات الدفاعية

يمثل برنامج Overlord تهديدًا متزايدًا في عالم البرمجيات الخبيثة لنظام macOS. ورغم بعض خصائصه غير المكتملة، فإن قدرته على البقاء في النظام والتقاط مدخلات المستخدم كافية لإحداث اختراقات خطيرة. ويشير التطوير المستمر إلى إمكانية إضافة قدرات أكثر تطورًا قريبًا. ويظل الكشف السريع عنه وإزالته أمرًا بالغ الأهمية للحد من الأضرار ومنع الوصول غير المصرح به.