فيديوهات غش الألعاب على YouTube تنشر برمجيات خبيثة تسرق البيانات لمستخدمي الروسية

فيديوهات غش الألعاب على YouTube تنشر برمجيات خبيثة تسرق البيانات لمستخدمي الروسية
فيديوهات غش الألعاب على YouTube تنشر برمجيات خبيثة تسرق البيانات لمستخدمي الروسية
شارك هذا الخبر

 تُستخدم فيديوهات على YouTube تروج لأساليب غش في الألعاب الإلكترونية كوسيلة لنشر برمجية خبيثة جديدة تُعرف باسم Arcane Stealer، والتي تستهدف بشكل رئيسي المستخدمين الناطقين باللغة الروسية. هذه البرمجية الخبيثة تم تصميمها لسرقة مجموعة واسعة من البيانات الحساسة، بما في ذلك معلومات الحسابات وكلمات المرور والبيانات المصرفية.

كيف تعمل الهجمات؟

تعتمد سلسلة الهجمات على مشاركة روابط لأرشيف محمي بكلمة مرور عبر فيديوهات YouTube. عند فتح هذا الأرشيف، يتم تفريغ ملف start.bat، الذي يعمل على استرداد ملف أرشيف آخر عبر PowerShell. بعد ذلك، يستخدم الملف النصي PowerShell لتشغيل ملفين تنفيذيين مخفيين داخل الأرشيف الجديد، مع تعطيل إجراءات الحماية مثل Windows SmartScreen.

ما الذي تفعله البرمجية الخبيثة؟

تتكون البرمجية الخبيثة من جزأين رئيسيين:

  1. برنامج تعدين العملات الرقمية: يستغل موارد الجهاز لتعدين العملات المشفرة.
  2. برنامج سرقة البيانات (VGS): وهو نسخة معدلة من برمجية Phemedrone Stealer، والتي تم استبدالها لاحقًا بـ Arcane Stealer اعتبارًا من نوفمبر 2024.

ما هي البيانات التي تسرقها Arcane Stealer؟

تقوم البرمجية الخبيثة بجمع مجموعة واسعة من البيانات، بما في ذلك:

  • معلومات الحسابات من متصفحات مثل Chrome وFirefox.
  • كلمات المرور وبيانات بطاقات الائتمان والكوكيز.
  • ملفات التكوين والإعدادات من تطبيقات متعددة مثل:
    • عملاء VPN: NordVPN، ExpressVPN، CyberGhost، وغيرها.
    • تطبيقات المراسلة: Telegram، Signal، Discord، وغيرها.
    • منصات الألعاب: Steam، Epic Games، Ubisoft Connect، وغيرها.
    • محافظ العملات المشفرة: Exodus، Electrum، Atomic، وغيرها.

بالإضافة إلى ذلك، يمكن للبرمجية التقاط لقطات شاشة للجهاز المصاب، وسرد العمليات الجارية، وحتى سرقة كلمات مرور شبكات Wi-Fi المحفوظة.

كيف تتم سرقة البيانات المشفرة؟

تستخدم Arcane Stealer واجهة برمجة التطبيقات Data Protection API (DPAPI) لفك تشفير البيانات الحساسة المخزنة في المتصفحات. كما تعتمد على أداة Xaitax لفك تشفير مفاتيح المتصفحات بشكل سري.

توسع التهديدات

قام المهاجمون بتوسيع نطاق هجماتهم من خلال إضافة أداة تحميل جديدة تُسمى ArcanaLoader، والتي تظهر كبرنامج لتحميل غش الألعاب، ولكنها في الواقع تنشر برمجية Arcane Stealer. وتستهدف هذه الحملة بشكل رئيسي مستخدمين في روسيا وبيلاروسيا وكازاخستان.

تعليق الخبراء

قالت شركة Kaspersky للأمن السيبراني: “ما يثير الاهتمام في هذه الحملة هو مرونة القراصنة في تحديث أدواتهم وطرق توزيعها. بالإضافة إلى ذلك، فإن برمجية Arcane Stealer مثيرة للاهتمام بسبب تنوع البيانات التي تجمعها والحيل التي تستخدمها لاستخراج المعلومات التي يريدها المهاجمون.”

نصائح أمنية

  • تجنب تحميل أي ملفات أو برامج من مصادر غير موثوقة.
  • تفعيل برامج الحماية من الفيروسات وضمان تحديثها بانتظام.
  • استخدام كلمات مرور قوية وفريدة لكل حساب.
  • تفعيل المصادقة الثنائية (2FA) حيثما أمكن.

يُذكر أن هذه الهجمات تُظهر تطورًا مستمرًا في أساليب القراصنة، مما يتطلب وعيًا أكبر من المستخدمين واتباع أفضل الممارسات الأمنية لحماية بياناتهم.

وسوم
محمد طاهر
محمد طاهر
المقالات: 134

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة