طبق گزارشهای جدید پژوهشگران FortiGuard Labs، مهاجمان سایبری با سوءاستفاده از محبوبیت روزافزون ابزارهای هوش مصنوعی، کاربران ویندوز را هدف یک کمپین بدافزاری پیچیده قرار دادهاند. در این عملیات، بدافزار AsyncRAT از طریق راهنمای جعلی Claude Code و فایلهای پیدیاف ظاهراً آموزشی توزیع میشود و پس از اجرا، با بهرهگیری از پاورشل (PowerShell) و مجموعهای از اسکریپتهای مخفی، زنجیره چندمرحلهای را برای آلودهسازی سیستمهای ویندوزی فعال میکند. بررسیها نشان میدهد بدافزار AsyncRAT در این عملیات بهعنوان بخشی از یک حمله چندمرحلهای و پنهانکارانه بهکار گرفته شده است؛ رویکردی که با سوءاستفاده از اعتماد کاربران به محتوای مرتبط با هوش مصنوعی، امکان استقرار بدافزار و دسترسی از راه دور مهاجمان به دستگاه قربانی را فراهم میکند.
بدافزار AsyncRAT در پوشش راهنمای جعلی هوش مصنوعی
در یکی از نمونههای شناساییشده توسط پژوهشگران FortiGuard Labs، مهاجمان سایبری یک فایل فشرده با فرمت 7z را در قالب یک راهنمای آموزشی مرتبط با هوش مصنوعی منتشر کرده بودند. این فایل که با عنوان زیر در اختیار کاربران قرار میگرفت، در ظاهر هیچگونه نشانهای از مخرب بودن نداشت و کاملاً ایمن به نظر میرسید:
Agentic Coding with Claude Code, The Everyday Developer’s Guide to Agentic Coding with Claude Code.7zاما پشت این ظاهر عادی، زنجیرهای از کدها و اسکریپتهای مخرب پنهان شده بودند که بلافاصله پس از باز شدن فایل فعال میشدند.
این حمله زمانی آغاز میشود که قربانی فایل میانبر .lnk موجود در آرشیو را اجرا کند. این فایل با استفاده از ابزارهای داخلی ویندوز مانند cmd.exe و findstr، مجموعهای از دستورات مخفی را اجرا کرده و اطلاعات مورد نیاز خود را از فایلهایی با نام 3th.pdf و 4th.pdf استخراج میکند.
این فایلها با وجود پسوند پیدیاف، در واقع اسناد واقعی نیستند و مهاجمان از آنها برای مخفیسازی و انتقال دادههای مورد نیاز حمله استفاده میکنند.
نقش پاورشل و مایکروسافت دیفندر در اجرای بدافزار AsyncRAT
زنجیره حمله با اجرای یک اسکریپت پاورشل (PowerShell) وارد مرحله اجرایی اصلی میشود. این اسکریپت با استفاده از رمزگشایی AES-CBC، یک اسکریپت ثانویه را استخراج کرده و آن را در پوشه AppData سیستم قربانی قرار میدهد. این تکنیک باعث میشود کد مخرب بهصورت رمزگذاریشده و غیرقابلخواندن به سیستم منتقل شده و تحلیل اولیه آن دشوارتر گردد.
در ادامه، بدافزار با اجرای یک فرمان، مسیر کامل درایو C:\ و همچنین فایل PowerShell.exe را به فهرست استثنائات مایکروسافت دیفندر (Microsoft Defender exclusions) اضافه میکند. این اقدام باعث میشود بخشی از فعالیتهای مخرب از دید آنتیویروس داخلی ویندوز پنهان بماند و احتمال شناسایی حمله کاهش پیدا کند.
در مرحله بعد، مهاجمان از ابزار AutoHotkey.exe سوءاستفاده میکنند. این ابزار پس از تغییر نام، خود را بهعنوان یک سرویس صوتی معتبر Realtek معرفی میکند؛ ترفندی که به بدافزار AsyncRAT اجازه میدهد در میان پردازههای عادی سیستم پنهان شده و بدون جلب توجه به فعالیت خود ادامه دهد.
تکنیک خالیسازی پردازه و نمایش اسناد فریبنده برای پنهانسازی حمله
در مرحله بعد، مهاجمان از تکنیک خالیسازی پردازه (Process Hollowing) استفاده میکنند. در این روش، یک پردازه معتبر مبتنی بر .NETدر حالت تعلیق ایجاد میشود؛ به این معنا که پردازه در حافظه بارگذاری شده اما اجرای آن هنوز آغاز نشده است. سپس کد مخرب در فضای حافظه همان پردازه تزریق میشود. این تکنیک باعث میشود پیلود مستقیماً روی دیسک ذخیره نشود و در نتیجه، ابزارهای اسکن ایستا (Static Analysis) شانس کمتری برای شناسایی آن را داشته باشند.
همزمان با این فرآیند، قربانی اسناد فریبنده را در سیستم خود مشاهده میکند. این فایلها با عنوانهایی مانند «AI-Ready PostgreSQL 18» یا «A Guide for Thinking Marketers in the Age of AI» نمایش داده میشوند تا حس اطمینان ایجاد کرده و کاربر تصور کند فایلهای دریافتشده کاملاً سالم و قانونی هستند؛ در حالی که فعالیت مخرب در پسزمینه بدون وقفه ادامه دارد.
در این مرحله از زنجیره حمله، بدافزار AsyncRAT بهعنوان یکی از پیلودهای اصلی وارد عمل شده و زمینه را برای دسترسی از راه دور مهاجمان به سیستم قربانی فراهم میکند.
دو شاخه شدن حمله؛ از کلاینت .NET تا تروجان دسترسی از راه دور
پژوهشگران در گزارشی تأیید کردهاند که این چارچوب بهطور ویژه برای تحویل پنهانکارانه پیلود (Stealthy Payload Delivery) و ایجاد دسترسی پایدار از راه دور طراحی شده است. در ادامه، زنجیره حمله به دو شاخه تقسیم میشود که هرکدام یک تروجان دسترسی از راه دور (RAT) را روی سیستم قربانی مستقر میکنند.
در شاخه اول، یک کلاینت ماژولار مبتنی بر .NET با قابلیتهای نظارتی اجرا میشود و در شاخه دیگر، بدافزار AsyncRAT نصب میگردد. هر دو ابزار به مهاجمان اجازه میدهند دسکتاپ کاربر را زیر نظر بگیرند، حرکات ماوس را ردیابی کنند و اطلاعات پایه سیستم را به سرورهای فرماندهی و کنترل (C2) از جمله دامنه shampobiskworld.nl ارسال کنند.
شواهد استفاده از هوش مصنوعی در توسعه کد حمله
یکی از نکات مهم در تحلیل این کمپین بدافزار AsyncRAT، شواهدی است که به استفاده از ابزارهای خودکار و هوش مصنوعی مولد (Generative AI) در فرآیند تولید کد اشاره دارد. پژوهشگران هنگام بررسی انتساب حمله (Adversary Attribution) متوجه شدند اسکریپتهای میانی پاورشل بهطور گسترده از نامگذاری متغیرها به زبان چینی سادهشده (Simplified Chinese) استفاده میکنند. علاوه بر این، در بخشی از کد یک خط کامنت چینی نامرتب و ویرایشنشده به همراه یک ایموجی غیرمرتبط و تصادفی نیز مشاهده شده است.
بر اساس ارزیابی FortiGuard Labs، بهاحتمال زیاد اپراتورهای انسانی منطق کلی حمله (Attack Logic) را طراحی کردهاند، اما برای تولید سریعتر اسکریپتها از ابزارهای هوش مصنوعی مولد کمک گرفتهاند. به نظر میرسد مهاجمان پیش از اجرای کمپین، کدها را بهطور کامل بازبینی و پاکسازی نکردهاند؛ موضوعی که باعث باقی ماندن ردپاهای زبانی و ساختاری در اسکریپتها شده است.
هشدار پژوهشگران درباره حملات چندمرحلهای و پنهانکارانه
طبق هشدار پژوهشگران FortiGuard Labs، هیچ سازمانی در برابر این حملات پیچیده مصون نیست. بر همین اساس توصیه میشود تیمهای امنیتی بهطور مداوم تسکهای زمانبندیشده مشکوک (Scheduled Tasks) را مانیتور کنند و از اجرای فایلهای میانبر ناشناخته یا دریافتشده از منابع غیرقابل اعتماد خودداری کنند.
همچنین پژوهشگران امنیتی تأکید میکنند که نقطه خطرناک و اصلی این کمپین بدافزار AsyncRAT ساختار چندمرحلهای و پنهانکارانه آن است. در این نوع حملات، مهاجم فعالیت خود را به مجموعهای از مراحل کوچک و ظاهراً بیخطر تقسیم میکند؛ بهطوری که هر بخش بهتنهایی قابل شناسایی نیست، اما مجموع آنها در نهایت یک حمله کامل و مخرب را شکل میدهد. این مدل حمله بر اساس مفهوم ابهام ترکیبی (Compositional Opacity) طراحی شده است.
به گفته پژوهشگران، هرچه مهاجمان بیشتر از هوش مصنوعی برای طراحی و بهینهسازی این حملات استفاده کنند، این حملات هم دقیقتر، مخفیتر و شناسایی آنها دشوارتر میشود. در نتیجه، مقابله با این تهدیدات نیازمند استفاده از دفاع چندلایه (Layered Defense) و ایجاد مکانیزمهای شناسایی هوشمند مبتنی بر هوش مصنوعی است.
