عادت حملات تصيد إلكتروني نشطة في مايو 2025 تستهدف مستخدمين وشركات عبر رسائل مزيفة تقود إلى تسليم برمجيات سرقة مفتوحة المصدر تُعرف باسم Stealerium. نفذت جماعتان مستقلتان هما TA2715 وTA2536، اللتان كانتا تميلان سابقاً إلى استخدام Snake Keylogger، سلاسل خداع تضم مستندات ورسائل تبدو صادرة عن مؤسسات مألوفة بهدف استدراج الضحايا لفتح مرفقات أو النقر على روابط تؤدي إلى تحميل أداة السرقة.
تفاصيل الحملة وأساليب التصيد المستخدمة
اتسمت الرسائل الملاحظة بمحاكاة جهات متنوعة ذات موثوقية لدى المستهدفين مثل مؤسسات خيرية وبنوك ومحاكم وخدمات الوثائق. عناوين الرسائل ركّزت على إثارة الإحساس بالعجلة أو الأهمية المالية، أمثلة شائعة تضمنت تعابير مثل استحقاق دفعة، استدعاء محكمة، وفاتورة تبرع. تدرج أسلوب الإقناع بين دعوات عاجلة تسعى لإجبار الضحية على اتخاذ إجراء فوري، ورسائل تبدو إدارية تحمل مستندات مزودة بروابط أو مرفقات مضغوطة. عند التفاعل يتم توجيه الضحية نحو تنزيل حزمة تحتوي على Stealerium أو إحدى متنوعاته المفتوحة المصدر، ما يؤدي إلى تنفيذ كود سرقة بيانات على الجهاز المصاب.
عن Stealerium وقدراته كأداة سرقة
Stealerium عائلة أدوات معلوماتية مفتوحة المصدر صممت لجمع بيانات حساسة من الأنظمة المصابة، وتشمل قدراتها سرقة بيانات الاعتماد المخزنة في المتصفحات ومحفظات التشفير وسجلات الأنشطة وملفات نظامية أخرى. طبيعته المفتوحة المصدر تجعل منه خياراً مرناً للمهاجمين الذين يمكنهم تعديل الشيفرة أو دمجها مع أدوات مساعدة أخرى لتجاوز ضوابط الحماية. كما أن توزيعه عبر قنوات التصيد التقليدية أو عبر حزم مُشغَّلة يجعل من الصعوبة على فرق الحماية الاعتماد على توقيعات ثابتة وحدها لاكتشاف جميع المتغيرات.
الاستهداف والدوافع وتشغيل الحملات
استهداف المؤسسات الخيرية والبنوك والمحاكم يعكس دراسة مسبقة لأساليب الهندسة الاجتماعية التي تُفعّل ردود فعل سريعة من المستخدمين، خصوصاً حين يتعلق الأمر بأموال أو قضايا قانونية. اعتماد جماعتين مختلفتين على نفس الأداة يشير إلى توجه تجاري في السوق الإجرامي حيث تُعاد استخدام أدوات مفتوحة لتقليل كلفة التطوير وتسريع حملات الانتشار. كما أن تكرار استخدام عناوين تحث على العجلة يزيد من احتمالات نجاح الحملة بين فئات الموظفين والمستخدمين الذين يتعاملون مع رسائل متشابهة يومياً.
توصيات عملية فنية وتنظيمية للحد من خطر الحملات
ينبغي للمؤسسات دمج إجراءات تقنية وتنظيمية للحد من نجاح مثل هذه الحملات، تشمل فرض سياسات تصفية البريد المتقدمة التي تتحقق من هوية المرسِل ومحتوى المرفقات، تقييد تشغيل المرفقات التنفيذية وفتح الملفات المضغوطة داخل بيئات معزولة، تفعيل مصادقة متعددة العوامل لحسابات الموظفين، ومراقبة سلوك المتصفحات وعمليات نقل بيانات الاعتماد. كما يُنصح بتحديث متصفحات الويب وبرامج إدارة كلمات المرور وأنظمة الحماية بشكل دوري، وتدريب الموظفين على التعرف إلى رسائل الهندسة الاجتماعية وعدم الاستجابة للعناوين التي تثير حالة من العجلة. لإجراء تحقيقات فعالة، يجب الاحتفاظ بسجلات النشاط لفترات كافية وتمكين حلول الكشف السلوكي التي تكشف عن أنماط جمع البيانات أو نقلها المشبوهة.
