برنامج Winos RAT الخبيث

استُهدف مستخدمو اللغة الصينية بحملة مُركّزة لتضليل مُحسّنات محرّكات البحث، حيث استبدلت صفحات تنزيل البرامج الحقيقية بصفحات مزيفة. وزّع المهاجمون مُثبّتات خبيثة عبر تصنيفات بحث مُتلاعب بها ونطاقات شبه متطابقة، مما يُسهّل على الضحايا الحصول على ما يبدو برنامجًا شرعيًا، ولكنه في الواقع ينشر برمجيات خبيثة للوصول عن بُعد.

كيف تعمل الحملة

عزّز مُهَدِّفو التهديدات صفحاتٍ مُزيّفة في نتائج البحث عبر إساءة استخدام إضافات تحسين محركات البحث (SEO) وتسجيل نطاقاتٍ مُشابهة تُحاكي بصريًا أسماء البائعين الشرعيين. واعتمدوا على تبديلاتٍ دقيقةٍ للأحرف ونصوصٍ صينيةٍ فصيحةٍ لخداع المستخدمين ودفعهم للنقر. بمجرد وصول الضحية إلى صفحة تنزيلٍ مُصابةٍ بحصان طروادة، تحتوي حزمة التثبيت على كلٍّ من التطبيق المُتوقّع ومكوّنٍ خبيثٍ مخفي. هذا المزيج يجعل اكتشاف المستخدمين العاديين للأمر صعبًا.

الأهداف والجدول الزمني

اكتشف الباحثون في أغسطس 2025 أن الحملة تستهدف بشكل رئيسي المستخدمين الذين يبحثون عن أدوات إنتاجية وتواصل شائعة. من أمثلة أهداف البحث المستخدمة لجذب الضحايا:

ترجمة DeepL

جوجل كروم

إشارة

برقية

واتساب

مكتب WPS

عائلات البرمجيات الخبيثة المعنية

أدت الهجمات إلى نشر متغيرات مرتبطة بـ Gh0st RAT، أبرزها HiddenGh0st وWinos (المعروف أيضًا باسم ValleyRAT). يُنسب Winos إلى مجموعة جرائم إلكترونية تُتعقب تحت أسماء مستعارة عديدة - Silver Fox وSwimSnake وThe Great Thief of Valley (لص الوادي) وUTG-Q-1000 وVoid Arachne - ويُعتقد أنها نشطة منذ عام 2022 على الأقل.

سلسلة التوصيل - الانهيار الفني

ملف جافا سكريبت صغير اسمه nice.js يُنظّم عملية التسليم متعددة الخطوات. يقوم البرنامج النصي بجلب استجابات JSON بشكل متكرر: يُعيد رابط التنزيل الأولي ملف JSON يحتوي على رابط ثانوي، ويُعيد هذا الرابط الثاني حمولة JSON أخرى، والتي تُعيد التوجيه في النهاية إلى عنوان URL الخاص بالمُثبّت الخبيث. تُشوّه هذه إعادة التوجيه المتعددة الطبقات موقع الحمولة النهائية وتُعقّد عملية الكشف.

داخل المثبت:

يُجري ملف DLL ضار يُسمى EnumW.dll مجموعة من عمليات التحقق من التحليل، ثم يستخرج ملف DLL ثانيًا (vstdlib.dll). صُمم استخراج vstdlib.dll وسلوكه لزيادة استخدام الذاكرة وإبطاء أدوات التحليل، مما يُعيق الفحص الآلي أو اليدوي.

لا يقوم ملف DLL الثاني بفك ضغط الحمولة الرئيسية وتشغيلها إلا بعد فحص النظام بحثًا عن وجود برنامج مكافحة فيروسات محدد. إذا تم اكتشاف مكون مكافحة الفيروسات هذا، يستخدم البرنامج الخبيث اختطاف TypeLib COM لتثبيته، وفي النهاية تنفيذ ملف ثنائي من نظام Windows باسم insalivation.exe.

إذا لم يكن برنامج مكافحة الفيروسات موجودًا، فإن البرامج الضارة بدلاً من ذلك تقوم بإنشاء اختصار لنظام Windows يشير إلى نفس الملف القابل للتنفيذ لتحقيق الاستمرارية.

الحمولة النهائية: SIDELoadING AIDE.dll

الهدف النهائي هو تحميل ملف DLL يُسمى AIDE.dll. بمجرد تفعيله، يُنفّذ AIDE.dll ثلاث قدرات تشغيلية رئيسية:

• القيادة والتحكم (C2): اتصالات مشفرة مع خادم بعيد للحصول على التعليمات وتبادل البيانات.
• نبض القلب: جمع دوري لمعلومات النظام والضحية، بما في ذلك تعداد العمليات الجارية والتحقق منها مقابل قائمة مبرمجة مسبقًا من منتجات الأمان.
• المراقبة: تأكيد الاستمرارية، وتتبع نشاط المستخدم، وإرسال إشارات منتظمة إلى C2.

القدرات والإضافات الإضافية

تدعم وحدة C2 الأوامر عن بُعد لجلب مكونات إضافية. تشمل الإمكانيات المعروفة تسجيل ضغطات المفاتيح، والتقاط الحافظة، ومراقبة الشاشة، وأدوات مصممة لاختراق محافظ العملات المشفرة - وتحديدًا محافظ إيثريوم وتيثر. يبدو أن العديد من المكونات الإضافية التي لوحظت في هذه الحوادث هي مكونات مُعاد استخدامها من إطار عمل Winos، وهي قادرة على مراقبة الشاشة باستمرار.

لماذا يصعب اكتشاف العدوى؟

لأن مُثبِّت البرنامج يُضمِّن التطبيق الشرعي إلى جانب الحمولة الخبيثة، فإن المستخدم الذي يُنزِّل برنامجًا يبدو موثوقًا قد لا يلاحظ أيَّ خطأ. وقد استغلَّ المهاجمون حتى نتائج البحث عالية التصنيف، مما يزيد من احتمالية قيام المستخدمين ذوي النوايا الحسنة بتثبيت الحزم المُخترَقة.

توصيات الدفاع

• تحقق دائمًا من أسماء النطاقات بعناية قبل تنزيل البرامج؛ ابحث عن الاستبدالات الدقيقة للأحرف وعناوين URL غير المتطابقة.
• تفضيل مواقع البائعين الرسمية أو متاجر التطبيقات المعتمدة بدلاً من التنزيلات من نتائج البحث.
• استخدم حماية نقطة النهاية التي تقوم بفحص سلوك المثبت (وليس فقط توقيعات الملفات) وتمكين الحماية ضد التحميل الجانبي لـ DLL واختطاف COM.

خاتمة

تُظهر هذه الحملة كيف يدمج المهاجمون التلاعب بتحسين محركات البحث (SEO)، والنطاقات المتشابهة، وإعادة التوجيه متعددة المراحل، والتهرب المتطور القائم على ملفات DLL، لبثّ برمجيات خبيثة من عائلة Gh0st-RAT إلى المستخدمين الناطقين بالصينية. يجعل هذا المزيج من الملفات الثنائية الشرعية والحمولات المخفية الحذرَ أمرًا بالغ الأهمية: التحقق من المصادر، وفحص النطاقات، واستخدام دفاعات تراقب سلوك التشغيل وسمعة الملفات.