تنتشر برمجية سرقة المعلومات المعروفة باسم DarkCloud عبر رسائل تصيّد مصممة لتبدو كمراسلات مالية أو إشعارات فواتير، تُغرِي المتلقي بتحميل وفتح أرشيفات ZIP ملوَّثة. يعتمد المهاجمون أسلوب الهندسة الاجتماعية لزيادة معدلات الفتح، ما يجعل هذه الحملة فعّالة ضد كل من المستخدمين الفرديين وبيئات العمل المؤسسية.
قدرات متقدمة وطبقات إضافية من التهرب
تطورت عينات DarkCloud لتشمل طبقات تشفير إضافية وتقنيات تهرب تهدف إلى إعاقة التحليل والكشف. تستهدف البرمجية بيانات متصفحات الويب، محتويات الحافظة (clipboard)، تسجيلات ضغطات المفاتيح (keystrokes)، بيانات عملاء FTP، عملاء البريد الإلكتروني، ملفات النظام، ومحافظ العملات المشفّرة. تُجمَع البيانات وترسل إلى نقاط استقبال تسيطر عليها الجهات المهاجمة عبر قنوات متعددة مثل Telegram وFTP وSMTP ولوحة ويب PHP. ووصفتها شركة eSentire بأنها برمجية مكتوبة بلغة VB6 وتُحدَّث بنشاط لاستهداف نطاق واسع من التطبيقات وقدرات جمع البيانات.
بنية استلام وتسويق منسقة عبر Telegram والشبكة العادية
يُسوَّق DarkCloud علنًا على قنوات Telegram بواسطة مستخدم يُعرَّف بـ @BluCoder، كما توجد واجهات تسويق على الشبكة العادية عبر نطاق مثل darkcloud.onlinewebshop[.]net. تتيح بنية الاستلام المتعددة للمهاجمين إدارة تدفقات البيانات المسروقة بسهولة وتبادل الحمولات وتحديثها بسرعة. هذا التنظيم التجاري يشير إلى نموذج انتشار احترافي قد يشمل عناصر خدمات برمجية خبيثة (MaaS).
توصيات دفاعية فنية وإجرائية
للوقاية من تهديدات كهذه يُنصح باتباع إجراءات عملية: فحص مرفقات ZIP داخل بيئة معزولة قبل فتحها، تقييد تنفيذ ثنائيات أو سكربتات غير معروفة، تمكين فحوص طبقية لسلوك المتصفحات وحماية الحافظة، فرض مصادقة متعددة العوامل على الحسابات الحساسة، مراقبة نقل البيانات إلى وجهات FTP/SMTP غير معروفة، ونشر برامج كشف/استجابة قادرة على تحليل قنوات C2 مثل Telegram ولوحات الويب. كما يُوصى بتدريب الموظفين على علامات التصيّد المالي ومراجعة المصادر قبل تنزيل أي مرفق، ومشاركة مؤشرات الاختراق (IOCs) مع مجتمع الأمن لقطع قنوات التوزيع.
