في تطور مقلق لمشهد التهديدات الإلكترونية، يجري تسويق برمجيتين خبيثتين جديدتين لسرقة المعلومات تحملان اسمي “أركانيكس” و”سيريكسين”، كأداة لجني أرباح مالية سريعة من خلال سرقة البيانات الحساسة. تكشف هذه البرمجيات عن تطورات تقنية خطيرة، منها تجاوز آليات حماية متصفح كروم الحديثة، في وقت تتوازى مع حملة ضخمة تستخدم أدوات ذكاء اصطناعي مغشوشة لنشر نفس نوع التهديدات.
سيريكسين: تجاوز تشفير كروم وتشفير متقدم للحماية
كشفت شركة “ديسيبت أي كيو” للأمن السيبراني عن التفاصيل التقنية لبرمجية “سيريكسين” المكتوبة بلغة C++. تجمع البرمجية بين قدرة فك تشفير بيانات الاعتماد التقليدية للمتصفحات باستخدام واجهة برمجة تطبيقات حماية بيانات ويندوز (DPAPI)، وتجاوز تقني جديد لتشفير جوجل المقيّد بالتطبيقات (App-Bound Encryption) الخاص بإصدار كروم 127 وما فوق. تعتمد آلية التجاوُز على تشغيل المتصفح بشكل غير مرئي (headlessly) وطلب فك تشفير ملفات تعريف الارتباط الخاصة به عبر “بروتوكول أدوات المطور”. كما تتميز بأسلوب متطور لمكافحة التحليل، حيث يكون الحمولة الرئيسية مشفرة بواسطة تقنية “معالجة الاستثناءات الموجهة بالنواقل” (VEH)، مما يجعل الشفرة الرئيسية غير قابلة للقراءة عند التخزين ولا تُفك تشفيرها إلا أثناء التنفيذ.
حملة AIRedScam: اصطياد المحترفين بأدوات ذكاء اصطناعي مغشوشة
تزامن الكشف عن هاتين البرمجيتين الخبيثتين مع تفاصيل حملة إلكترونية تحمل الاسم الرمزي “AIRedScam”. تستخدم هذه الحملة، حسبما أفادت شركة “ألترا فايوليت سيبر”، أدوات ذكاء اصطناعي محملة بفخاخ ومُشاركة على منصة “جيت هاب” الشهيرة، بهدف نشر برمجيات خبيثة أخرى مثل “سمارت لودر” وسارقات المعلومات. ما يميز الحملة هو اختيارها استهداف متخصصي الأمن السيبراني الهجومي (Offensive Cybersecurity) الباحثين عن أدوات لأتمتة عمليات التعداد والاستطلاع في اختبارات الاختراق، مما يستغل ثقتهم واهتمامهم المهني بأدوات التطوير والتقييم.
تطور خطير في استهداف المهنيين وتجاوز الحلول الأمنية
يشير ظهور أدوات مثل “سيريكسين” وحملات مثل “AIRedScam” إلى اتجاهين خطرين: الأول هو التطور التقني المستمر لمهاجمة آليات الحماية الحديثة التي تضعها الشركات الكبرى مثل جوجل، مما يقصر عمر الحلول الأمنية. والثاني هو التحول في استهداف الضحايا نحو فئات أكثر تخصصاً مثل خبراء الأمن أنفسهم، باستخدام طُعم أكثر تعقيداً وهو أدوات الذكاء الاصطناعي، مما يزيد من صعوبة اكتشاف التهديد ويوسع دائرة الخطر.
ضرورة اليقظة المتخصصة وتدابير الحماية الاستباقية
يُفرض هذا المشهد تحدياً مضاعفاً على فرق الأمن والمتخصصين في القطاع. من ناحية، يجب تعزيز التدابير لحماية بيانات الاعتماد، بما يتجاوز الاعتماد الكلي على آليات تشفير المتصفحات. ومن ناحية أخرى، تتطلب اليقظة الشديدة عند تحميل أو تجربة أي أدوات، حتى من المصادر مفتوحة المصدر أو التي تبدو موثوقة، مع ضرورة فحصها في بيئات معزولة آمنة. كما يُظهر الحادث أهمية مراجعة وتحسين إجراءات الأمان الخاصة بمطوري ومنصات الذكاء الاصطناعي مفتوحة المصدر.
