Image by Drazen Zigic, from Freepik
يستخدم القراصنة برنامج Neptune RAT للتجسس، السرقة، ومسح بيانات أجهزة الكمبيوتر للضحايا
Reading Time: 2 min
First published Apr 8, 2025
Updated 2 times since publishing
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
Translated by فريق الترجمة والتوطين خدمات الترجمة والتوطين
تم اكتشاف نسخة خطيرة جديدة من Neptune RAT، وهو برنامج ضار قوي للوصول عن بُعد (RAT)، بواسطة باحثين في مجال الأمن السيبراني في CYFIRMA. يمكن لهذا البرنامج الضار سرقة كلمات المرور، والتحكم في معاملات العملات المشفرة، والتجسس على الضحايا في الوقت الحقيقي، وحتى تدمير أنظمة Windows.
في عجلة من أمرك؟ هنا الحقائق السريعة:
- يسرق كلمات المرور من أكثر من 270 تطبيقًا، بما في ذلك Chrome و Brave.
- يقوم البرنامج الخبيث بتبديل عناوين محافظ العملات المشفرة للاستيلاء على المعاملات.
- يعطل برامج مكافحة الفيروسات ويفسد ملفات النظام لتجنب الكشف عنه.
يتم نشر البرامج الضارة على GitHub، وTelegram، وYouTube، وغالبًا ما يتم الإعلان عنها بأنها “أكثر البرامج الضارة تطورًا”. يستخدم المهاجمون أوامر PowerShell لتنزيل وتنفيذ البرمجيات الضارة.
يستخدم المهاجمون سكربت ضار موجود على catbox.moe لإجراء عمليات تنزيل وتنفيذ صامتة. يتلقى مجلد AppData للضحية تثبيت Neptune RAT الذي يقيم اتصالات بالخادم البعيد تمنح المهاجمين السيطرة الكاملة على الأجهزة المصابة.
يشكل RAT الخاص بـ Neptune تهديدًا كبيرًا لأنه يتضمن مجموعة من القدرات. إنه قادر على سرقة كلمات المرور واستخراج معلومات الدخول من أكثر من 270 تطبيقًا – بما في ذلك متصفحات الويب الشهيرة مثل Chrome و Opera و Brave.
يعمل البرنامج الضار أيضًا كمقص دوائر رقمية، حيث يقوم بإستبدال عناوين محفظة العملات المشفرة التي تم نسخها بعناوين المهاجم الخاصة للاستيلاء على المعاملات. في الحالات الأكثر شدة، يعمل كبرنامج فدية، حيث يقوم بتشفير الملفات ويطلب دفعات بالبيتكوين مقابل إطلاق سراحها.
يمكن للبرنامج الضار حتى مراقبة شاشة الضحية في الوقت الحقيقي، وفي الهجمات الشديدة، يمكنه تلف سجل الإقلاع الرئيسي (MBR)، مما يجعل النظام غير قابل للإقلاع. كما يعمل على تعطيل برنامج مكافحة الفيروسات عند التثبيت لتجنب الكشف عنه.
لا يزال فيروس Neptune RAT مخفيًا من خلال أساليب التشويش على الكود. وتتضمن هذه الأساليب استخدام النصوص العربية والرموز التعبيرية، مما يجعله أصعب للباحثين في تحليل برمجته. بالإضافة إلى ذلك، يتضمن البرنامج الخبيث حماية ضد الأجهزة الافتراضية، التي تقوم بتنشيط إجراءات الإغلاق عندما تكتشف أنشطة التحليل.
ووفقاً لـ CYFIRMA، فإن صانع البرنامج الخبيث، الذي يعرف بـ “Mason Team”، قام بتحميل عروض توضيحية على YouTube ويقدم نسخة مجانية من Neptune RAT على GitHub. تشير التقارير البحثية إلى أن المطور يدعي أنه مبرمج وُلد في موسكو ويقيم حاليًا في السعودية، مع نشاط عام على Discord وYouTube مرتبط بتطوير البرنامج الخبيث.
Previous Story
Latest Articles 
