برنامج StilachiRAT الخبيث

اكتشف الباحثون مؤخرًا StilachiRAT، وهو برنامج تروجان متطور للوصول عن بُعد (RAT) يستخدم تقنيات تهرب متقدمة للبقاء في الأنظمة المخترقة. الهدف الرئيسي لهذا البرنامج الخبيث هو جمع معلومات حساسة، مما يشكل تهديدًا خطيرًا للأفراد والمؤسسات على حد سواء.

ما يجمعه StilachiRAT

صُمم StilachiRAT لجمع مجموعة واسعة من البيانات من الأنظمة المصابة. ويستهدف معلومات مثل:

• بيانات الاعتماد المخزنة في متصفحات الويب
• تفاصيل المحفظة الرقمية
• محتوى الحافظة، بما في ذلك كلمات المرور ومحافظ العملات المشفرة
• معلومات النظام، مثل إصدار نظام التشغيل، وأرقام BIOS التسلسلية، ووجود الكاميرا، والتطبيقات النشطة

كيف يعمل StilachiRAT

اكتُشف StilachiRAT في نوفمبر 2024، داخل وحدة DLL باسم "WWStartupCtrl64.dll". ورغم أن طريقة إيصاله الدقيقة لا تزال مجهولة، إلا أنه يمكن نشره عبر ناقلات هجوم مختلفة، مما يُبرز أهمية اتخاذ تدابير أمنية قوية.

بمجرد دخوله إلى النظام، يُجري StilachiRAT استطلاعًا شاملًا للنظام لجمع معلومات قيّمة، بما في ذلك تفاصيل نظام التشغيل، وجلسات بروتوكول سطح المكتب البعيد (RDP) النشطة، ومعرّفات الأجهزة مثل الأرقام التسلسلية لنظام BIOS. بالإضافة إلى ذلك، يستهدف StilachiRAT بشكل صريح ملحقات محافظ العملات المشفرة في متصفح Google Chrome، بما في ذلك محافظ معروفة مثل MetaMask وTrust Wallet وCoinbase Wallet، وغيرها.

الاتصالات والتحكم

يتواصل StilachiRAT مع خادم القيادة والتحكم (C2) لإرسال واستقبال التعليمات. ومن خلال هذا الاتصال ثنائي الاتجاه، يمكن للبرنامج الخبيث تنفيذ أوامر متنوعة، مثل:

• مسح سجلات الأحداث وإنهاء اتصالات الشبكة
• فرض إيقاف تشغيل النظام أو تشغيل تطبيقات محددة
• مراقبة معلومات جلسة RDP والتقاطها، بما في ذلك تفاصيل النافذة
• سرقة كلمات مرور Google Chrome المخزنة والبيانات الحساسة الأخرى

تجعل هذه الإمكانيات StilachiRAT أداةً متعددة الاستخدامات لسرقة البيانات والتلاعب بالنظام. وحسب أهداف المهاجم، يُمكنه إطلاق ما يصل إلى 10 أوامر مختلفة.

التدابير المضادة للطب الشرعي

في محاولة لتجنب الكشف، يستخدم StilachiRAT تقنيات متنوعة لمكافحة الأدلة الجنائية. تشمل هذه التقنيات مسح سجلات الأحداث، وتجنب أدوات التحليل، والكشف عن البيئات الافتراضية المستخدمة عادةً لتحليل البرامج الضارة. يؤدي ذلك إلى زيادة صعوبة تتبع وجودها والحد منه على فرق الأمن السيبراني.

كيفية حماية أجهزتك من تهديدات RAT (حصان طروادة للوصول عن بُعد)

أحصنة طروادة للوصول عن بُعد (RATs) هي أنواع خطيرة من البرمجيات الخبيثة، تُتيح للمهاجمين الوصول غير المصرح به إلى أجهزتك، مما يُمكّنهم من جمع معلومات حساسة، ومراقبة أنشطتك، والسيطرة على نظامك. تتطلب حماية أجهزتك من هذه التهديدات مجموعة من التدابير الأمنية الاستباقية. إليك بعض الاستراتيجيات للمساعدة في الحماية من أحصنة طروادة للوصول عن بُعد:

1. حافظ على تحديث برامجك ونظام تشغيلك : تأكد من تحديث نظام التشغيل والمتصفحات والتطبيقات بانتظام. تُستخدم تحديثات البرامج بشكل متكرر لتوفير تصحيحات أمنية تُعالج الثغرات الأمنية التي قد تستغلها برامج الوصول عن بُعد (RATs) وغيرها من البرامج الضارة. فعّل التحديثات التلقائية لتقليل خطر تفويت إصلاحات أمنية مهمة.
2. استخدم كلمات مرور قوية وفريدة : غالبًا ما تجمع أدوات الوصول عن بُعد بيانات الاعتماد المخزنة في المتصفحات أو المحافظ الرقمية. لتقليل المخاطر، استخدم كلمات مرور قوية وفريدة لكل حساب من حساباتك. يساعدك استخدام مدير كلمات المرور على إنشاء كلمات مرور معقدة وتخزينها بأمان. يُنصح بتجنب استخدام كلمة مرور واحدة لحسابات متعددة.
3. ثبّت برنامجًا موثوقًا لمكافحة البرامج الضارة : يُساعد برنامج شامل لمكافحة البرامج الضارة في اكتشاف برامج الوصول عن بُعد (RATs) وإزالتها قبل أن تُسبب أضرارًا جسيمة. حلل نظامك بانتظام بحثًا عن التهديدات، وتأكد من أن برنامج مكافحة البرامج الضارة يحتوي على أحدث تعريفات الفيروسات.
4. تفعيل المصادقة الثنائية (2FA) : فعّل المصادقة الثنائية (2FA) لحساباتك الإلكترونية، إن أمكن، وخاصةً الحسابات الحساسة مثل البريد الإلكتروني والخدمات المصرفية ومحافظ العملات المشفرة. حتى لو سرق برنامج RAT بيانات تسجيل الدخول الخاصة بك، فإن المصادقة الثنائية تُضيف طبقة حماية إضافية تتطلب عملية تحقق ثانية.
5. توخَّ الحذر عند التعامل مع مرفقات وروابط البريد الإلكتروني : تنتشر برامج RATs غالبًا عبر رسائل التصيد الاحتيالي أو الروابط الاحتيالية. انتبه جيدًا عند الوصول إلى مرفقات أو روابط البريد الإلكتروني من مصادر مجهولة أو مشبوهة. تحقق من عنوان البريد الإلكتروني للمرسل، وتجنب تنزيل الملفات من مواقع ويب غير موثوقة.
6. استخدم جدار حماية : يُساعد جدار الحماية في مراقبة حركة مرور الشبكة الواردة والصادرة والتحكم فيها. يمكنه حظر الوصول غير المصرح به إلى نظامك، مما يمنع المهاجمين من التحكم في جهازك أو سرقة بياناتك عن بُعد. تأكد من تفعيل جدار الحماية وتكوينه بشكل صحيح.

• انسخ بياناتك احتياطيًا بانتظام : في حال نجاح برنامج RAT في اختراق نظامك، يُمكن أن يُساعدك النسخ الاحتياطي المنتظم للبيانات على استعادة ملفاتك المهمة. احتفظ بنسخك الاحتياطية على محركات أقراص خارجية أو تخزين سحابي لضمان أمان معلوماتك في حال تعرض نظامك لهجوم فدية أو اختراق.

• تعطيل بروتوكول سطح المكتب البعيد (RDP) عند عدم الحاجة إليه : يُعد بروتوكول سطح المكتب البعيد (RDP) وسيلة هجوم شائعة لبرامج الوصول عن بُعد (RATs). إذا لم تكن بحاجة إلى RDP للوصول عن بُعد إلى جهازك، فننصحك بتعطيله تمامًا. إذا كان ضروريًا لعملك، فتأكد من استخدام كلمات مرور قوية وقصر الوصول على عناوين IP الموثوقة فقط.

• راقب العمليات النشطة ونشاط الشبكة : كن يقظًا بشأن مراقبة العمليات النشطة على نظامك. إذا لاحظت تطبيقات غير مألوفة أو نشاطًا مرتفعًا على الشبكة، فتحقق جيدًا للتأكد من عدم تشغيل أي برنامج RAT في الخلفية. يمكن لأدوات مثل "مدير المهام" (على نظام Windows) أو "مراقب النشاط" (على نظام macOS) المساعدة في تحديد السلوكيات المشبوهة.

يُمثل StilachiRAT تهديدًا خطيرًا للأمن السيبراني نظرًا لقدراته المتطورة على سرقة البيانات، وخصائصه في التلاعب بالأنظمة، وأساليبه التشغيلية الخفية. وللتصدي لهذه الهجمات، يجب على الأفراد والمؤسسات اعتماد ممارسات أمنية فعّالة واليقظة التامة تجاه التهديدات الناشئة.

برنامج StilachiRAT الخبيث فيديو

نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.