برنامج WezRat الخبيث

لقد أصبح WezRat، وهو تهديد متقدم للغاية مكتوب بلغة C++، أداة مفضلة بين مجرمي الإنترنت لجمع المعلومات وتنفيذ مهام ضارة. ويستمر WezRat، الذي يعمل منذ أكثر من عام، في التطور مع وحدات محسّنة وبنية أساسية قابلة للتكيف. وقد لوحظ انتشار أحدث إصداراته عبر رسائل البريد الإلكتروني الخادعة، مما يُظهر براعة منشئيه في استهداف الضحايا غير المطمئنين.

إن الهدف الأساسي لهذا البرنامج الخبيث هو سرقة البيانات، ولكن نطاق قدراته يمتد إلى ما هو أبعد من ذلك بكثير. حيث يعمل التسلل إلى الأنظمة المستهدفة كبوابة للمجرمين الإلكترونيين لجمع المعلومات الحساسة وتعطيل العمليات واستغلال الأجهزة المخترقة.

حصاد البيانات ومراقبة النظام

بمجرد اختراق النظام، يقوم WezRat بإجراء استطلاع مكثف. فهو يجمع معلومات مفصلة مثل مسار ملف تعريف المستخدم، وعنوان IP الخاص بالجهاز المحلي، واسم الكمبيوتر واسم المستخدم. ولا يتم تصنيف نقاط البيانات هذه فحسب، بل يتم الاستفادة منها أيضًا لتنفيذ هجمات إضافية، بما في ذلك حفظ وحدات تالفة إضافية على الجهاز المصاب.

تسمح البنية الأساسية للقيادة والتحكم في WezRat بتنفيذ الأوامر وتحميل الملفات وإجراء إجراءات مثل التقاط لقطات الشاشة أو تسجيل ضغطات المفاتيح. تتولى وحدات متخصصة تم تنزيلها من خادم القيادة والتحكم بعض هذه المهام، مما يزيد من وظائف البرامج الضارة.

تقنيات سرقة البيانات الشاملة

يستخدم WezRat ترسانة من التكتيكات لجمع المعلومات الحساسة:

• التقاط الشاشة ومراقبتها: يمكن لمجرمي الإنترنت التقاط لقطات لنشاط المستخدم، مما يمكنهم من استخراج البيانات السرية المعروضة على الشاشة.
• تسجيل ضغطات المفاتيح: من خلال تسجيل كل ضغطة مفتاح، يقوم البرنامج الضار بالتقاط بيانات اعتماد تسجيل الدخول وأرقام بطاقات الائتمان وغيرها من المعلومات الخاصة المدخلة على لوحة المفاتيح.
• اختطاف الحافظة: يتم اعتراض النص الذي ينسخه الضحية، مثل كلمات المرور أو التفاصيل المالية، وإرساله إلى المهاجمين.
• سرقة ملفات تعريف الارتباط: تتم سرقة ملفات تعريف الارتباط المخزنة في المتصفح، مما يسمح للمهاجمين باختطاف جلسات المستخدم والحصول على وصول غير مصرح به إلى الحسابات عبر الإنترنت.

التكتيكات في العالم الحقيقي: مقنعة في صورة اتصالات مشروعة

تُظهِر أحدث حملة لشركة WezRat خبرة مشغليها في الخداع. تُوجِّه رسائل البريد الإلكتروني الاحتيالية، التي يُزعم أنها صادرة عن المديرية الوطنية للأمن السيبراني الإسرائيلية (INCD)، المتلقين إلى تحديث متصفح Chrome الخاص بهم عبر رابط. يتم توجيه الضحايا الذين ينقرون على الرابط إلى موقع ويب مزيف مصمم لتقليد صفحة INCD الشرعية.

بمجرد دخول الضحايا إلى الموقع، يقومون دون علمهم بتنزيل ملف يسمى "Google Chrome Installer.msi". يجمع هذا الملف بين مثبت Chrome الشرعي وبرنامج خلفي ضار، "Updater.exe". عند تنفيذه، يتصل البرنامج الخلفي بخادم بعيد، ويعدل سجل النظام لضمان استمرار WezRat.

ما وراء البريد الإلكتروني: مجموعة متنوعة من طرق التوزيع

بالإضافة إلى حملات التصيد الاحتيالي، تم توزيع WezRat من خلال قنوات خادعة أخرى:

• البرمجيات المقرصنة: لا يزال تضمين البرامج الضارة في الإصدارات المقرصنة من البرامج الشرعية تكتيكًا شائعًا.
• الإعلانات غير الآمنة: تؤدي الإعلانات المزيفة إلى دفع المستخدمين إلى تنزيل البرامج الضارة دون علمهم.
• المواقع الإلكترونية الخادعة وتكتيكات الدعم الفني: يغري مجرمو الإنترنت الضحايا بمطالبات احتيالية ويغريهم بتنزيل ملفات مصابة.
• استغلال الثغرات الأمنية في البرامج: من خلال استهداف البرامج القديمة أو غير المحدثة، يقوم المهاجمون بتثبيت البرامج الضارة بصمت.
• شبكات نظير إلى نظير (P2P): يتم توزيع البرامج الضارة من خلال منصات مشاركة الملفات، وغالبًا ما تكون متخفية في شكل ملفات مرغوبة.

قدرات متطورة وتهديد مستمر

يُعَد WezRat مثالاً واضحاً على كيفية تكيف التهديدات الحديثة واستمرارها. وتشكل قدرته على جمع البيانات الحساسة وطرق التوزيع المتنوعة تحديًا خطيرًا لدفاعات الأمن السيبراني. فمن خلال التقاط نشاط المستخدم وتسجيل ضغطات المفاتيح واختطاف الجلسات عبر الإنترنت، يمكّن WezRat مجرمي الإنترنت من استغلال البيانات الشخصية والمهنية للضحايا بشكل شامل.

البقاء محميًا ضد WezRat

يتعين على الأفراد والمؤسسات تنفيذ تدابير أمنية قوية لمواجهة التهديدات مثل WezRat. إن تجنب الروابط المشبوهة، والحفاظ على تحديث البرامج، واستخدام أدوات أمنية قوية يمكن أن يقلل من التعرض لمثل هذه التهديدات. إن الوعي السيبراني واستراتيجيات الدفاع الاستباقية ضرورية للتعامل مع مشهد التهديدات اليوم.

يعد WezRat بمثابة تذكير صارخ بالمخاطر التي تشكلها التهديدات المتطورة وأهمية اليقظة في حماية البيئات الرقمية.