برمجية خبيثة جديدة تستهدف حسابات “ديسكورد” عبر شيفرة بايثون مُموهة

برمجية خبيثة جديدة تستهدف حسابات "ديسكورد" عبر شيفرة بايثون مُموهة
برمجية خبيثة جديدة تستهدف حسابات "ديسكورد" عبر شيفرة بايثون مُموهة
شارك هذا الخبر
كشف باحثون في الأمن السيبراني تفاصيل برمجية خبيثة جديدة تحمل اسم VVS Stealer أو كما يُسوّق لها تحت مسمى VVS $tealer، وهي أداة مخصصة لسرقة بيانات المستخدمين، خصوصاً حسابات منصة التواصل الشهيرة “ديسكورد”. هذه البرمجية تعتمد على لغة البرمجة بايثون، وتستغل تقنيات التمويه عبر أداة Pyarmor، التي تُستخدم عادةً لحماية الشيفرات البرمجية من التحليل، لكنها هنا وظفت لإخفاء نشاط خبيث يصعب على أدوات الكشف التقليدية رصده. بحسب تقرير صادر عن وحدة Palo Alto Networks Unit 42، فإن هذه البرمجية كانت معروضة للبيع على منصات مثل “تيليغرام” منذ أبريل 2025، ما يعكس انتشارها المبكر في دوائر الجرائم الإلكترونية.
آلية عمل البرمجية واستهدافها

توزع برمجية VVS Stealer على شكل حزمة PyInstaller، وبمجرد تشغيلها على جهاز الضحية، تقوم بإنشاء آلية استمرارية عبر إضافة نفسها إلى مجلد بدء التشغيل في نظام ويندوز، لتضمن إعادة تشغيلها تلقائياً بعد كل إعادة تشغيل للجهاز. ولزيادة خداع المستخدمين، تعرض البرمجية رسائل خطأ وهمية بعنوان “Fatal Error”، تدفع الضحية إلى إعادة تشغيل الجهاز، وهو ما يمنحها فرصة أكبر لجمع البيانات. وتشمل المعلومات المستهدفة:

  • بيانات حسابات ديسكورد (الرموز المميزة ومعلومات الحساب).
  • بيانات المتصفحات مثل كروميوم وفايرفوكس (ملفات تعريف الارتباط، كلمات المرور، سجل التصفح، بيانات الملء التلقائي).
  • لقطات شاشة من الجهاز المصاب.

كما أن البرمجية مصممة لتنفيذ هجمات حقن على تطبيق “ديسكورد”، حيث تقوم بإنهاء التطبيق إذا كان قيد التشغيل، ثم تحميل شيفرة جافاسكريبت مموهة من خادم بعيد، مهمتها مراقبة حركة الشبكة عبر بروتوكول Chrome DevTools Protocol (CDP)، ما يسمح للمهاجمين بالتحكم في الجلسات النشطة وسرقتها.

اقتصاد السوق السوداء للبرمجيات الخبيثة

يُسوّق VVS Stealer على تيليغرام باعتباره “أداة السرقة النهائية”، بأسعار منخفضة مقارنة بغيره من البرمجيات المشابهة، حيث يبدأ الاشتراك الأسبوعي من 10 يورو (11.69 دولار)، بينما تصل تكلفة الترخيص مدى الحياة إلى 199 يورو (232 دولار). هذه الأسعار تجعل منه واحداً من أرخص أدوات السرقة المتاحة في السوق السوداء، وهو ما يزيد من خطورته نظراً لإمكانية وصوله إلى عدد أكبر من المهاجمين محدودي الموارد. تقرير صادر عن منصة Deep Code أشار إلى أن مطور هذه البرمجية يُعتقد أنه ناطق بالفرنسية، وناشط في مجموعات تيليغرام متخصصة في أدوات السرقة مثل Myth Stealer وEyes Stealer GC، ما يعزز فرضية أن هناك شبكة منظمة خلف تطوير وتوزيع هذه البرمجية.

تداعيات أمنية أوسع

لا يقتصر خطر VVS Stealer على الأفراد فقط، بل يمتد إلى المؤسسات والشركات. فقد أوضح تقرير من شركة Hudson Rock أن المهاجمين يستغلون أدوات السرقة للحصول على بيانات اعتماد إدارية من شركات شرعية، ثم يستخدمون بنيتها التحتية لنشر البرمجيات الخبيثة عبر حملات شبيهة بـ ClickFix، ما يخلق حلقة متكررة يصعب كسرها. الخطير في هذه الظاهرة أن نسبة كبيرة من النطاقات التي تستضيف هذه الحملات ليست منصات خبيثة أنشأها المهاجمون، بل مواقع لشركات شرعية تم اختراقها وسرقة بياناتها، لتتحول دون علمها إلى أدوات لنشر البرمجيات الخبيثة. هذا النمط يعكس تطوراً مقلقاً في أساليب الهجوم، حيث يتم استغلال البنية التحتية الشرعية لتضليل أنظمة الحماية وزيادة فرص نجاح الاختراقات.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1095

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة