كشف باحثون أمنيون عن عملية برمجية خبيثة متعددة المراحل متطورة تستخدم نصوص باتش مشفرة كآلية توصيل أساسية. أطلق عليها فريق سيكيورونيكس للأبحاث اسم "فويد جيست"، حيث تقوم الحملة في النهاية بنشر حمولات مشفرة لأحصنة طروادة للوصول عن بُعد سيئة السمعة مثل إكس وورم وآسينك رات وزينو رات. تم تصميم سلسلة الهجوم لتقليد النشاط الإداري المشروع، بدءاً من نص باتش يتم استرداده من نطاق "تراي كلاودفلير" وتوزيعه عبر رسائل التصيد.
التنفيذ التقني يتسم بالتمويه الملحوظ. يقوم النص الأولي بتنظيم نشر نص باتش ثانٍ، ويمهد لتشغيل بيئة بايثون شرعية مدمجة، ثم يفك تشفير شيل كود مشفر. بعد ذلك يتم حقن هذا الشيل كود مباشرة في الذاكرة باستخدام تقنية تُعرف باسم "إيرلي بيرد إيه بي سي إنجكشن"، تستهدف عمليات منفصلة لعملية "إكسبلورر.إكس إي". هذا النهج الخالي من الملفات يقلل الآثار على القرص، مما يخفض فرص الكشف التقليدي بشكل كبير.
يؤكد الباحثون أن هذه الحملة تعكس اتجاهاً أوسع حيث يبتعد المهاجمون عن ملفات التنفيذ المنفردة. بدلاً من ذلك، يعتمدون أطر عمل معيارية قائمة على النصوص التي تندمج مع عمليات النظام العادية. من خلال الاستفادة من نصوص باتش للتنسيق، وباورشيل للتخفي، وبيئات التشغيل الشرعية للنقل، يمكن للجهات الخبيثة العمل باستمرار داخل بيئة مخترقة دون إثارة إنذارات الأمان القياسية.
مرحلة الإصابة الأولية تتجنب عمداً تصعيد الصلاحيات، حيث تعمل بصلاحيات المستخدم المسجل الدخول للحفاظ على وجود منخفض. يبدو كل مكون من مكونات الهجوم غير ضار عند عزله، حيث يشبه مهام الإدارة الروتينية، مما يسمح للبرمجية الخبيثة بإنشاء موطئ قدم قوي قبل فك تشفير وتنفيذ حمولات أحصنة الطروادة النهائية للسيطرة الكاملة على النظام.
يجب على المؤسسات تعزيز المراقبة لأنشطة النصوص غير المعتادة، ومراجعة سياسات تشغيل بايثون وباورشيل، وتنفيذ مبادئ أقل صلاحية للحد من تأثير مثل هذه الهجمات المموهة. يمثل هذا الاكتشاف تطوراً خطيراً في تكتيكات التهرب التي تستهدف الأنظمة دون ترك أثر.
