رصد خبراء الأمن السيبراني برمجية خبيثة ناشئة تعمل بنموذج البرمجيات كخدمة (MaaS) تحت اسم AuraStealer، يتم توزيعها عبر حملات احتيالية على منصة TikTok. في هذه الحملات، يتم خداع الضحايا عبر مقاطع فيديو تبدو كأدلة لتفعيل منتجات، حيث يُطلب منهم إعادة كتابة وتشغيل أوامر في واجهة PowerShell بصلاحيات إدارية. لكن بدلاً من تفعيل البرنامج، يتم تنزيل الحمولة الخبيثة وتشغيلها بصمت.
توزيع عبر ألعاب وبرامج مقرصنة
إلى جانب حملات TikTok، يتم نشر AuraStealer عبر ألعاب وبرامج مقرصنة، باستخدام سلاسل توزيع معقدة ومتنوعة. هذا الأسلوب يتيح للمهاجمين الوصول إلى شريحة واسعة من المستخدمين الباحثين عن نسخ مجانية أو معدلة من البرامج.
تقنيات إخفاء متقدمة
تتميز AuraStealer بقدرات متقدمة لمقاومة التحليل، منها:
- تشويش تدفق التحكم غير المباشر
- تشفير السلاسل النصية
- استخدام استدعاءات API عبر الاستثناءات
هذه الأساليب تجعل من الصعب على الباحثين الأمنيين عكس هندسة البرمجية أو فهم بنيتها الداخلية.
قدرات سرقة واسعة النطاق
البرمجية قادرة على جمع بيانات حساسة تشمل:
- بيانات من متصفحات Chromium وGecko
- محافظ العملات المشفرة من التطبيقات والإضافات
- محتويات الحافظة (Clipboard)
- رموز الجلسات وكلمات المرور
- بيانات من مديري كلمات المرور وVPN
- لقطات شاشة وبيانات النظام التفصيلية
برمجيات أخرى في المشهد
إلى جانب AuraStealer، تم رصد برمجيات خبيثة أخرى مثل Stealka وPhantom، حيث يتم توزيع الأخيرة عبر مثبتات مزيفة لبرامج Adobe، ما يعكس تنوع الأساليب التي يعتمدها المهاجمون لنشر أدوات سرقة المعلومات.
