نسخة جديدة من Interlock RAT تعتمد على PHP وآلية FileFix لاستهداف قطاعات متعددة
New PHP-Based Interlock RAT Variant Uses FileFix Delivery to Target Multiple Industries
إعداد: مايسترو نيرو - الأمن السيبراني
أطلق قراصنة Interlock نسخة جديدة من برمجيتهم الخبيثة (RAT) مكتوبة بلغة PHP ضمن حملة تستهدف قطاعات متعددة، مستخدمين تقنية توزيع جديدة تُعرف باسم FileFix، وهي نسخة معدّلة من ClickFix.
طريقة الهجوم
تبدأ الحملة من مواقع مخترقة تحتوي على سطر برمجي خفي يُعيد توجيه الزوار إلى صفحة تحقق CAPTCHA مزيفة. هذه الصفحة تستغل ClickFix لإقناع المستخدم بتنفيذ سكربت PowerShell يقوم بتثبيت NodeSnake، وهو الاسم الآخر لـ Interlock RAT.
آلية FileFix الجديدة
FileFix تستغل إمكانيات نظام Windows في تنفيذ الأوامر عبر شريط العناوين في مستعرض الملفات، مما يسمح بتنفيذ التعليمات الضارة دون تحميل ملفات مباشرة.
معلومة تقنية: تم توثيق هذه التقنية لأول مرة من قبل الباحث الأمني mrd0x في يونيو 2025 كدليل إثبات المفهوم.
وظائف البرمجية الخبيثة
بمجرد التثبيت، يقوم Interlock RAT بإجراء مسح للجهاز الضحية، وإرسال البيانات بصيغة JSON، وتحديد مستوى الصلاحيات (USER / ADMIN / SYSTEM)، ثم الاتصال بخادم بعيد لتحميل ملفات EXE أو DLL.
التحكم والتخفي
يستغل التروجان نُفق Cloudflare Tunnel لإخفاء مركز القيادة والتحكم (C2)، مع إدراج IP احتياطي مدمج في الكود في حال فشل النفق. كما يعتمد على تغييرات في الريجستري للبقاء بعد إعادة التشغيل ويفعل بروتوكول RDP للحركة الجانبية داخل الشبكة.
هذا التطور في أدوات مجموعة Interlock يعكس درجة عالية من التعقيد التقني، ويؤكد الحاجة لمراقبة مستمرة للأنشطة الخبيثة خصوصًا تلك التي تستغل تقنيات توزيع جديدة مثل FileFix.
آخر تحديث: 14 يوليو 2025