پژوهشگران امنیت سایبری از شناسایی یک کمپین جدید هرزنامه مخرب (Malspam) خبر دادهاند که با سوءاستفاده از زیرساخت معتبر دابلکلیک گوگل (Google DoubleClick)، یک تروجان دسترسی از راه دور (RAT) به نام بدافزار DesckVB RAT را از طریق یک زنجیره حمله چندمرحلهای منتشر میکنند.
در این عملیات، مهاجمان با عبور دادن قربانی از زنجیرهای از ریدایرکتها تلاش میکنند زنجیره انتشار بدافزار DesckVB RAT را از دید بسیاری از راهکارهای امنیتی پنهان نگه دارند. این حمله از طریق یک فرآیند چندمرحلهای شامل فایل HTML، ریدایرکتهای متوالی، آرشیو ZIP و لودرهای مبتنی بر اسکریپت انجام میشود و در نهایت میتواند امکان کنترل کامل بر سیستمهای آلوده را برای مهاجمان فراهم کند.
مسیر حمله بدافزار DesckVB RAT از طریق دابلکلیک گوگل
بر اساس گزارش Huntress، زنجیره حمله با باز شدن یک فایل HTML پیوستشده به ایمیل فیشینگ آغاز میشود. این فایل با استفاده از مکانیزم Meta Refresh، مرورگر کاربر را به یک لینک رهگیری کلیک (Click-Tracking URL) در سرویس Google DoubleClick Campaign Manager هدایت میکند.
قربانی پس از عبور از این مرحله، به بخش دیگری از زنجیره تغییر مسیر هدایت میشود؛ جایی که آدرس ایمیل رمزگذاریشده با Base64 رمزگشایی شده و کاربر به یک لندینگپیج (Landing Page) حاوی گزینه «Download PDF» منتقل میشود.
نکته قابل توجه این است که مهاجمان بدون نیاز به طراحی یک کیت اختصاصی برای هر سازمان، میتوانند محتوای صفحه فریب را بهصورت پویا بر اساس ایمیل، نام شرکت و موقعیت جغرافیایی قربانی شخصیسازی کنند؛ رویکردی که این عملیات را مقیاسپذیرتر و مقرونبهصرفهتر میسازد. هدف نهایی این کمپین، توزیع بدافزار DesckVB RAT است؛ یک تروجان مبتنی بر .NET که از فوریه 2026 در حملات واقعی مشاهده شده است.
زنجیره آلودگی
سرور پس از کلیک روی گزینه دانلود، یک آرشیو ZIP را در اختیار قربانی قرار میدهد که آغازگر مراحل بعدی زنجیره آلودگی است. این آرشیو شامل یک لودر جاوااسکریپت (JavaScript Loader) است که وظیفه آن دریافت و اجرای اجزای بعدی حمله، بدون جلب توجه ابزارهای امنیتی است. این لودر در ادامه یک اسکریپت پاورشل (PowerShell Script) را استخراج و اجرا کرده و این اسکریپت نیز با برقراری ارتباط با یک سرور خارجی، یک لودر .NETرا دریافت میکند. این زنجیره چندمرحلهای در نهایت شرایط اجرای بدافزار DesckVB RAT را فراهم کرده و پیلود نهایی را روی سیستم قربانی مستقر میسازد.
تکنیکهای پنهانسازی، پایداری و کنترل سیستم بدافزار DesckVB RAT
لودر در این مرحله بهعنوان نقطه آغاز زنجیره اجرا عمل میکند و ابتدا وجود محیطهای تحلیل یا سندباکس را بررسی میکند. سپس این لودر بخشی از کنترلهای امنیتی سیستم را خنثی کرده و مکانیزم پایداری (Persistence) را روی میزبان برقرار میسازد.
در ادامه، پیلود نهایی با استفاده از تکنیک خالیسازی پردازه یا به عبارتی Process Hollowing اجرا میشود؛ روشی که در آن کد مخرب درون پردازههای امضاشده مایکروسافت تزریق میشود تا شناسایی دشوارتر شود.
بدافزار DesckVB RAT پس از اجرا از طریق سوکتهای TCP با سرور فرماندهی و کنترل (C2) ارتباط برقرار کرده، شناسایی اولیه سیستم را انجام میدهد و در نهایت پیکربندیهای مربوط به استثناهای Microsoft Defender را اعمال میکند.
در این مرحله، بدافزار کنترل کامل سیستم آلوده را در اختیار گرفته و ارتباط پایدار خود را با زیرساخت مهاجم تثبیت میکند.
دور زدن AMSI و ETW
این تروجان در مراحل ابتدایی اجرای خود، رابط اسکن ضدبدافزار (AMSI) و سامانه رهگیری رویدادهای ویندوز (ETW) را در سطح API بومی پچ میکند تا قابلیتهای تلهمتری و مانیتورینگ ویندوز را مختل سازد. در ادامه، با ایجاد کلیدهای رجیستری در مسیرهای Run و RunOnce و همچنین قرار دادن یک لودر در پوشه Startup سیستم، مکانیزم پایداری خود را تثبیت میکند.
بدافزار DesckVB RAT علاوه بر قابلیت اجرای فرمان، استخراج داده و استقرار پیلودهای اضافی، در صورت شناسایی محیط تحلیل یا سندباکس (Sandbox)، میتواند فرآیند را متوقف کرده و سیستم را راهاندازی مجدد کند تا از ادامه بررسی جلوگیری شود.
توصیههای امنیتی
به گفته Huntress، مقابله با بدافزار DesckVB RAT نیازمند استراتژی دفاع چندلایهای (Defense in Depth) است. اقدامات پیشنهادی شامل موارد زیر است:
- اعمال Group Policy Object (GPO) در اکتیو دایرکتوری (Active Directory) برای باز شدن پیشفرض فایلهای اسکریپتی مانند .vbs، .hta و .jsدر Notepad بهجای اجرای مستقیم
- پیادهسازی مکانیزمهای احراز هویت ایمیل شامل DMARC، DKIM و SPF برای کاهش ریسک ایمیلهای جعلی و فیشینگ
- استفاده از گیتوی امن ایمیل مجهز به قابلیت سندباکس جهت تحلیل پیوستها و لینکها پیش از تحویل به کاربر
