حذر باحثو الأمن السيبراني من حملة جديدة تستخدم نسخًا مقرصنة من البرامج كطُعم لنشر برمجيات سرقة المعلومات مثل Lumma و ACR Stealer.
وأفاد مركز استخبارات أمن AhnLab (ASEC) بارتفاع كبير في معدل انتشار برمجية ACR Stealer منذ يناير 2025.
ومن أبرز التقنيات التي تستخدمها هذه البرمجية طريقة “Dead Drop Resolver” لاستخراج خادم القيادة والتحكم (C2) الفعلي، وذلك عبر استغلال خدمات شرعية مثل Steam و Telegram’s Telegraph و Google Forms و Google Slides.
وفقًا لـ ASEC:
“يقوم المهاجمون بإدخال نطاق C2 الفعلي بتنسيق Base64 على صفحة محددة. ثم يقوم البرنامج الضار بالوصول إلى هذه الصفحة، وتحليل النص، واستخراج عنوان خادم C2 لتنفيذ الأنشطة الخبيثة.”
قدرات ACR Stealer وبرمجيات خبيثة أخرى
تم اكتشاف أن ACR Stealer، الذي كان يتم توزيعه سابقًا من خلال Hijack Loader، لديه القدرة على سرقة الملفات، وبيانات متصفحات الويب، وامتدادات محافظ العملات الرقمية من الأجهزة المصابة.
في تطور آخر، كشفت ASEC عن حملة جديدة تستخدم ملفات بامتداد “MSC”، والتي يتم تشغيلها عبر Microsoft Management Console (MMC)، لنشر برمجية Rhadamanthys Stealer.
“هناك نوعان من برمجيات MSC الضارة:
- أحدهما يستغل ثغرة apds.dll (CVE-2024-43572).
- الآخر يستخدم “Console Taskpad” لتنفيذ أوامر ضارة.”
📌 تفاصيل الهجوم:
🔹 يتم إخفاء ملف MSC على هيئة مستند MS Word.
🔹 عند النقر على زر “فتح”، يتم تنزيل وتنفيذ سكريبت PowerShell من مصدر خارجي.
🔹 يحتوي السكريبت على ملف EXE (Rhadamanthys) الذي ينفذ الهجوم.
ثغرة GrimResource (CVE-2024-43572)، التي وثّقتها Elastic Security Labs لأول مرة في يونيو 2024، تم استغلالها كـ Zero-Day حتى قامت Microsoft بإصلاحها في أكتوبر 2024.
استغلال منصات دعم العملاء لنشر البرمجيات الضارة
تم أيضًا رصد هجمات تستخدم منصات دعم العملاء مثل Zendesk، حيث يتظاهر المهاجمون بأنهم عملاء لخداع موظفي الدعم الفني وتحفيزهم على تنزيل برمجية Zhong Stealer.
ووفقًا لتقرير حديث صادر عن Hudson Rock، فقد تم إصابة أكثر من 30 مليون جهاز كمبيوتر ببرمجيات سرقة المعلومات خلال السنوات الأخيرة، مما أدى إلى سرقة بيانات اعتماد الشركات وملفات تعريف الارتباط للجلسات (Session Cookies). يتم بعد ذلك بيع هذه البيانات في المنتديات الإجرامية، مما يتيح للمشترين استغلال الحسابات المسروقة لتنفيذ عمليات احتيالية واختراق الأنظمة الحساسة.
📌 تحذير من Hudson Rock:
“يمكن للمجرمين الإلكترونيين شراء بيانات مسروقة لموظفين في قطاعات الدفاع والعسكري مقابل 10 دولارات فقط لكل سجل، مما يشكل تهديدًا خطيرًا للأمن السيبراني.”
تزايد استخدام تقنيات جديدة لنشر البرمجيات الضارة
على مدار العام الماضي، زادت الهجمات الإلكترونية التي تستهدف نشر أنواع متعددة من البرمجيات الضارة، بما في ذلك:
🔹 Stealers (برامج سرقة المعلومات).
🔹 Remote Access Trojans (RATs) (أحصنة طروادة للوصول عن بُعد).
إحدى الطرق الجديدة التي يستخدمها المهاجمون هي تقنية ClickFix، حيث يتم إعادة توجيه الضحايا إلى صفحات تحقق “CAPTCHA” مزيفة تطلب منهم نسخ وتنفيذ أوامر PowerShell ضارة.
📌 مثال على التهديدات المتطورة:
تم اكتشاف برمجية I2PRAT، والتي تستخدم شبكة I2P لإخفاء هوية خادم القيادة والتحكم C2، مما يزيد من تعقيد تتبع مصدر الهجوم.
🔍 وفقًا لتقرير Sekoia:
“البرمجية تمثل تهديدًا متقدمًا يتكون من طبقات متعددة، مما يجعل اكتشافها ومكافحتها أكثر صعوبة. استخدام شبكة إخفاء الهوية يزيد من تعقيد تتبع الهجمات وانتشارها في العالم الرقمي.”
يكشف ذلك عن التطور المستمر للتهديدات السيبرانية، حيث يستغل المهاجمون البرمجيات المقرصنة، ومنصات الدعم، والتقنيات الجديدة لنشر برمجيات خبيثة تستهدف بيانات الشركات والمستخدمين. يتعين على الأفراد والشركات تعزيز تدابير الأمان السيبراني لحماية أجهزتهم من هذه الهجمات المتزايدة.
