كشفت شركة Recorded Future عن حملة إلكترونية جديدة تنفذها مجموعة القراصنة المعروفة باسم Golden Chickens (أو Venom Spider)، حيث قامت المجموعة بإصدار عائلتين جديدتين من البرمجيات الخبيثة هما TerraStealerV2 وTerraLogger، في إطار جهودها المستمرة لتطوير أدواتها الإلكترونية.
كيف تعمل هذه البرمجيات؟
-
TerraStealerV2: صُمم لسرقة بيانات الاعتماد من المتصفحات، ومعلومات محافظ العملات الرقمية، وبيانات امتدادات المتصفح.
-
TerraLogger: عبارة عن مسجل ضربات لوحة المفاتيح (Keylogger) يسجل كل ما يُكتب على الجهاز، لكنه لا يرسل البيانات إلى خوادم القراصنة مباشرة، مما يشير إلى أنه قيد التطوير أو جزء من نظام أكبر.
تعتمد هذه البرمجيات على تقنيات متطورة لتجنب الاكتشاف، مثل استخدام أدوات نظام ويندوز الشرعية مثل regsvr32.exe وmshta.exe لنشر الحمولة الخبيثة.
من هم Golden Chickens؟
هي مجموعة قرصنة ذات دوافع مالية، معروفة منذ عام ٢٠١٨، وتشتهر بتوزيع برمجيات ضارة مثل More_eggs وVenomLNK وTerraCrypt. تعمل المجموعة بنموذج البرمجيات الخبيثة كخدمة (MaaS)، حيث تقدم أدواتها لمجرمي الإنترنت مقابل المال.
في عام ٢٠٢٣، ارتبطت المجموعة بشخصية إلكترونية تُعرف باسم badbullzvenom، يُعتقد أنها تعمل من كندا ورومانيا.
كيف يتم توزيع البرمجيات الخبيثة؟
يتم نشر TerraStealerV2 عبر:
-
ملفات تنفيذية (EXE)
-
مكتبات الربط الديناميكي (DLL)
-
حزم تثبيت ويندوز (MSI)
-
ملفات الاختصار (LNK)
بينما يُوزع TerraLogger كملف OCX، لكنه لا يحتوي حتى الآن على آلية لإرسال البيانات المسروقة، مما يشير إلى أنه قد يكون قيد التطوير.
هل هذه البرمجيات خطيرة؟
على الرغم من تطورها، فإن TerraStealerV2 لا يتجاوز تقنيات التشفير الحديثة في متصفح Chrome، مما قد يحد من فعاليته. ومع ذلك، يُنصح المستخدمون بـ:
-
تحديث أنظمة التشغيل والمتصفحات باستمرار.
-
تجنب تنزيل البرامج من مصادر غير موثوقة.
-
استخدام برامج مكافحة الفيروسات ذات السمعة الجيدة.
تصاعد تهديدات سرقة البيانات عالمياً
ظهرت مؤخراً عدة برمجيات خبيثة جديدة مثل:
-
Hannibal Stealer
-
Gremlin Stealer
-
Nullpoint Stealer
-
إصدار جديد من StealC V2 (يدعم تشفير RC4 ويتيح سرقة البيانات بناءً على الموقع الجغرافي)
-
إصدار محدث من Lumma Stealer (يستهدف المتصفحات ومحافظ العملات المشفرة)
