كشفت فرق البحث في الأمن السيبراني عن ثلاث عائلات جديدة من برمجيات سرقة المعلومات (Infostealers)، تُعرف باسم Cyber Stealer وRaven Stealer وSHUYAL Stealer، تتميز بقدرات متقدمة على سرقة بيانات الاعتماد وتنفيذ عمليات استطلاع موسعة للنظام، بالإضافة إلى تقنيات مراوغة وتخفي متطورة.
SHUYAL Stealer: جمع شامل للمعلومات وتخفي بارع
تعد SHUYAL Stealer من أخطر هذه البرمجيات، إذ لا تكتفي بسرقة بيانات الاعتماد فحسب، بل تلتقط لقطات شاشة من النظام وتنسخ محتوى الحافظة (Clipboard)، ثم تُرسل كل هذه البيانات المسروقة — بما في ذلك رموز Discord — عبر بنية قائمة على روبوتات Telegram. وتتميز البرمجية بآلية حذف ذاتي تستخدم ملفات “batch” لمسح أي أثر لها من النظام بعد تنفيذ مهامها الرئيسية، مما يجعل اكتشافها وتحليلها أكثر صعوبة.
Cyber Stealer: بنية مرنة وخدمات مدفوعة
من جهتها، تعتمد Cyber Stealer على قناة اتصال مستمرة مع خادم القيادة والسيطرة (C2) باستخدام عمليات تحقق منتظمة (Heartbeat)، وتنفذ مهام تتضمن استخراج البيانات وتشغيل أداة تعدين عملات XMR، بالإضافة إلى قدرات اختراق مثل Clipper، وShell عن بُعد، ووكيل عكسي (Reverse Proxy)، وهجمات حجب الخدمة الموزعة (DDoS)، وتسميم نظام أسماء النطاقات (DNS Poisoning). اللافت أن هذه القدرات تتفاوت حسب مستوى الاشتراك المدفوع الذي يختاره “العميل” من المجرمين السيبرانيين. كما أن عنوان خادم C2 يمكن تحديثه ديناميكياً من خلال Pastebin، مع وجود عنوان احتياطي مشفر في حال فشل التحديث.
Raven Stealer: توزيعه عبر GitHub وتنسيق عبر Telegram
أما البرمجية الثالثة، Raven Stealer، فتُوزّع بنشاط من خلال مستودعات GitHub ويتم الترويج لها في قناة على تطبيق Telegram يديرها القائمون على تطويرها. تعمل هذه البرمجية على سرقة بيانات الاعتماد، وجمع بيانات المتصفحات، وتسريبها في الزمن الحقيقي عبر تكامل مباشر مع روبوت Telegram، بما يعكس نفس النمط الذي تتبعه برمجيات السرقة الأخرى.
سوق متنامٍ يهدد المستخدمين والمؤسسات
رغم وجود عدد كبير من برمجيات سرقة المعلومات في مشهد الجريمة السيبرانية، إلا أن ظهور أدوات جديدة بمثل هذه القدرات المتقدمة يسلّط الضوء على ازدهار السوق السوداء لهذه البرمجيات، حيث تُستخدم لتمكين سرقة البيانات على نطاق واسع، إما لأغراض مالية مباشرة أو كنقطة انطلاق لهجمات أكثر تعقيداً.
