20 أغسطس، 2025 - 10:22 م
  • من نحن
  • سياسة الخصوصية
  • اتصل بنا
No Result
View All Result
  • Login
ميجا نيوز
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت
ميجا نيوز
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت
No Result
View All Result
No Result
View All Result
ميجا نيوز
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت
Home ميكس 

كاسبرسكي ترصد برمجية حصان طروادة تستهدف المؤسسات المالية عن بعد عبر برنامج سكايب

by فريق العمل
أغسطس 20, 2025
A A
كاسبرسكي ترصد برمجية حصان طروادة تستهدف المؤسسات المالية عن بعد عبر برنامج سكايب
Share on FacebookShare on Twitter

اكتشف فريق الأبحاث والتحليل العالمي (GReAT) في كاسبرسكي برمجية GodRAT الخبيثة، وهي من أنواع حصان طروادة تستخدم للوصول عن بعد، وتنتشر عبر ملفات شاشة التوقف خبيثة تتخفى على هيئة مستندات مالية، وكانت ترسل إلى الضحايا عبر تطبيق سكايب حتى شهر مارس 2025، قبل أن تنتقل لاحقاً إلى قنوات أخرى.

واستهدفت هذه البرمجية خلال الهجمات شركاتٍ صغيرة ومتوسطة في دول عديدة منها: دولة الإمارات العربية المتحدة، وهونج كونج، والأردن، ولبنان.

نشرت الجهة المهاجمة برمجية حصان طروادة جديدة للوصول والتحكم عن بعد اسمها GodRAT، وقد عثر على هذه البرمجية في الشيفرة المصدرية لأحد العملاء باستخدام أداة فحص، وذلك بعد رفع ملف البرمجية الخبيثة إليها في شهر يوليو عام 2024.

ويتضمن الأرشيف المسمى (GodRAT V3.5_______dll.rar) أداة لتوليد برمجية GodRAT الخبيثة، فهي تستطيع توليد ملفات خبيثة بصيغة تنفيذية (EXE) وبصيغة ملفات (DLL). وتتيح هذه الأداة للمهاجمين خداع الضحايا وإخفاء الملفات الخبيثة باستخدام أسماء عمليات وبرامج مألوفة (مثل svchost.exe وcmd.exe وwscript.exe) لحقن كود البرمجية، ثم حفظ الملفات بتنسيقات مختلفة منها: .exe, .com, .bat, .scr, and .pif

استعان المهاجمون بتقنية إخفاء المعلومات (Steganography) تفادياً للاكتشاف، فأدخلوا الشيل كود الخبيث ضمن ملفات صور تستعرض بيانات مالية مختلفة. ويتولى الشيل كود تحميل برمجية GodRAT الخبيثة من خادم القيادة والتحكم (C2).

وبعد ذلك تنشئ برمجية حصان طروادة للوصول عن بعد (RAT) اتصالاً ببروتوكول TCP مع خادم C2، وتستخدم لهذه الغاية المنفذ المحدد ضمن إعداداتها الداخلية.

وتجمع البرمجية معلومات كثيرة منها: تفاصيل نظام التشغيل، واسم المضيف المحلي، واسم عملية البرمجية الخبيثة ومعرّفها، وحساب المستخدم المرتبط بهذه العملية، وتكتشف برامج مكافحة الفيروسات المُثبتة في الجهاز، وتتحقق من وجود برنامج لالتقاط المعلومات.

علاوة على ما سبق، تتيح برمجية GodRAT الخبيثة تشغيل إضافات أخرى؛ فبعد تثبيت هذه البرمجية في الجهاز، استعان المهاجمون بإضافة FileManager لاستكشاف أنظمة الضحية، وأطلقوا برنامجاً لسرقة كلمات المرور استهدف متصفحي كروم ومايكروسوفت إيدج لسرقة بيانات تسجيل الدخول.

ولم يكتفِ المهاجمون باستخدام GodRAT، وإنما استعانوا كذلك ببرمجية AsyncRAT كأداة إضافية للوصول إلى النظام لمدة أطول.

يعلق على هذه المسألة «سوراب شارما»، وهو باحث أمني في فريق GReAT لدى كاسبرسكي: «تبدو GodRAT نسخة مطورة من برمجية AwesomePuppet، التي رصدتها كاسبرسكي لأول مرة عام 2023، ويرجح أنها مرتبطة بمجموعة Winnti APT الإجرامية.

وتدل أساليب الانتشار، والمعلمات النادرة لسطر الأوامر، وتشابه كود البرمجية مع Gh0st RAT، و الملفات المشتركة مثل البصمة التعريفية الرقمية، على الأصل المشترك لهذه البرمجيات.

فعلى الرغم من مرور ما يقارب عقدين من الزمن، لا تزال جهات التهديد تستخدم قواعد بيانات الشيفرة القديمة لبرمجيات الزرع مثل Gh0st، فتواصل غالباً على تعديلها وتطويرها لاستهداف شريحة واسعة من الضحايا.

وما اكتشاف برمجية GodRAT إلّا برهان على أنّ هذه الأدوات المعروفة منذ سنين طويلة تظل صالحة للاستخدام ومؤثرة في المشهد الراهن للأمن السيبراني».

Kaspersky’s Global Research and Analysis Team (GReAT) has uncovered GodRAT — a new Remote Access Trojan distributed via malicious screensaver files disguised as financial documents and delivered through Skype messenger until March 2025, subsequently transitioning to other channels. SMBs in UAE, Hong Kong, Jordan and Lebanon were targeted throughout this campaign.

The threat actor deployed a newly identified Remote Access Trojan (RAT) named GodRAT, which was found in a client’s source code on a popular online scanner, where it was uploaded in July, 2024. The archive, titled GodRAT V3.5_______dll.rar, also includes the GodRAT builder, capable of generating both executable and DLL payloads. This builder allows attackers to disguise the malicious payload by selecting legitimate process names (e.g. svchost.exe, cmd.exe, wscript.exe) for code injection and saving the final file in various formats, including .exe, .com, .bat, .scr, and .pif.

To evade detection, the attackers used steganography to embed shellcode within image files depicting financial data. This shellcode downloads the GodRAT malware from a Command-and-Control (C2) server. The RAT then establishes a TCP connection to the C2 server using the port specified in its configuration blob. It collects operating system details, local hostname, malware process name and process ID, the user account associated with the malware process, installed antivirus software, and the presence of a capture driver.

GodRAT supports additional plugins, and once installed, the attackers utilized the FileManager plugin to explore the victim’s systems and deployed password stealers targeting Chrome and Microsoft Edge to extract credentials. In addition to GodRAT, they also employed AsyncRAT as a secondary implant to maintain prolonged access.

“GodRAT appears to be an evolution of AwesomePuppet, which was reported by Kaspersky in 2023 and is likely linked to the Winnti APT. Its distribution methods, rare command-line parameters, code similarities with Gh0st RAT, and shared artifacts — such as a distinctive fingerprint header — suggest a common origin. Despite being nearly two decades old, legacy implant codebases like Gh0st RAT continue to be actively used by threat actors, often customized and rebuilt to target a wide range of victims. The discovery of GodRAT demonstrates how such long-known tools can remain relevant in today’s cybersecurity landscape,” comments Saurabh Sharma, Security Researcher within Kaspersky’s Global Research and Analysis Team.

More information is available in a report on Securelist.com.

To stay safe, Kaspersky recommends:

• Regularly updating your operating system, browser, antivirus, and other programs. Culprits tend to exploit vulnerabilities in software to compromise systems.

• To protect the company against such threats, use solutions from the Kaspersky Next product line that provide real-time protection, threat visibility, investigation and response capabilities of EDR and XDR for organizations of any size and industry.

• You can enable the ‘Show file extensions’ option in the Windows settings. This will make it much easier to distinguish potentially malicious files. As Trojans are programs, you should be warned to stay away from file extensions like “exe”, “vbs” and “scr”.You need to keep a vigilant eye on this as many familiar file types can also be dangerous. Scammers could use several extensions to masquerade a malicious file as a video, photo, or a document (like hot-chics.avi.exe or doc.scr).

 

 

قد يهمك ايضا

«ابتاون 6 أكتوبر» تستفيد من «فوري دهب» لإطلاق نظام دفع رقمي للمشروعات العقارية

تفاصيل إطلاق«إل جي» مجموعة جديدة من الثلاجات الموفرة للمساحة والطاقة

 

 

 

 

 

 

Tags: أمن المعلوماتالأمن السيبرانيكاسبرسكي
Share130Tweet81

موضوعات مقترحة

«ابتاون 6 أكتوبر» تستفيد من «فوري دهب» لإطلاق نظام دفع رقمي للمشروعات العقارية
ميكس 

«ابتاون 6 أكتوبر» تستفيد من «فوري دهب» لإطلاق نظام دفع رقمي للمشروعات العقارية

تفاصيل إطلاق«إل جي» مجموعة جديدة من الثلاجات الموفرة للمساحة والطاقة
شوف

تفاصيل إطلاق«إل جي» مجموعة جديدة من الثلاجات الموفرة للمساحة والطاقة

مرتضى منصور يتقدم ببلاغ ضد ممدوح عباس.. ما القصة
ميكس 

مرتضى منصور يتقدم ببلاغ ضد ممدوح عباس.. ما القصة

إل جي مصر تطلق مرحلة جديدة من مبادرة “Better Home” في الفيوم
ميكس 

إل جي مصر تطلق مرحلة جديدة من مبادرة “Better Home” في الفيوم

كيف تفضل الكلاب أصحابها على أنفسها؟ .. قدرات استثنائية
ميكس 

كيف تفضل الكلاب أصحابها على أنفسها؟ .. قدرات استثنائية

Next Post
رئيس البريد: تعديل شامل لمشروع الرعاية الصحية ليشمل أسر العاملين وزيادة المخصصات

رئيس البريد: تعديل شامل لمشروع الرعاية الصحية ليشمل أسر العاملين وزيادة المخصصات

اترك تعليقاً إلغاء الرد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

نشر حديثا

رئيس البريد: تعديل شامل لمشروع الرعاية الصحية ليشمل أسر العاملين وزيادة المخصصات

رئيس البريد: تعديل شامل لمشروع الرعاية الصحية ليشمل أسر العاملين وزيادة المخصصات

كاسبرسكي ترصد برمجية حصان طروادة تستهدف المؤسسات المالية عن بعد عبر برنامج سكايب

كاسبرسكي ترصد برمجية حصان طروادة تستهدف المؤسسات المالية عن بعد عبر برنامج سكايب

رقص وغناء داخل قاعة المحكمة والداخلية تفحص .. تفاصيل 

رقص وغناء داخل قاعة المحكمة والداخلية تفحص .. تفاصيل 

تفاصيل تعرض إليسا لعملية نصب بمبلغ 2.7 مليون دولار

تفاصيل تعرض إليسا لعملية نصب بمبلغ 2.7 مليون دولار

نمو أرباح المصرية للاتصالات بنسبة 50% خلال النصف الأول من 2025

المصرية للاتصالات : لا يوجد تغييرات بمجلس الإدارة (بيان رسمي)

منصة اخبارية شامله , اقرء كل ما هو جديد من اخبار و موضوعات علي مدار اليوم
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت

جميع الحقوق محفوظة 2024 ميجا نيوز . مدعوم بواسطة 

الرئيسية

نشر حديثا

اتصل بنا

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In
No Result
View All Result
  • الرئيسية
  • كلام
  • هاشتاج
  • شوف
  • الشاشة
  • الماتش
  • بيزنس
  • العيادة
  • ميكس 
  • أوت فيت

جميع الحقوق محفوظة 2024 ميجا نيوز . مدعوم بواسطة