أظهر تحليل حديث أجرته شركة Intrinsec تفاصيل جديدة حول برمجية AuraStealer، حيث تم ربطها بـ 48 نطاقاً خاصاً بخوادم التحكم والسيطرة (C2) المستخدمة في عملياتها. هذا الاكتشاف يسلط الضوء على البنية التحتية الواسعة التي يعتمد عليها المهاجمون لتشغيل البرمجية وإخفاء أنشطتهم.
البنية التقنية وإخفاء الهوية
بحسب التقرير، يستخدم مطورو AuraStealer نطاقات من المستوى الأعلى مثل .shop و .cfd، مع تمرير جميع حركة المرور عبر خدمة Cloudflare كوكيل عكسي، وذلك لإخفاء الخوادم الحقيقية ومنع تتبعها بسهولة. هذه الاستراتيجية تمنح المهاجمين طبقة إضافية من الحماية ضد محاولات الكشف أو التعطيل.
خلفية ظهور البرمجية
ظهرت AuraStealer لأول مرة في يوليو 2025 على منتديات القرصنة تحت الأرض، وذلك بعد فترة وجيزة من تعطيل برمجية Lumma Stealer في إطار عملية إنفاذ قانونية. تم الإعلان عنها بواسطة مستخدم يحمل اسم AuraCorp على منتدى XSS الشهير، ما يشير إلى أن مطوريها يسعون لملء الفراغ الذي تركته Lumma في سوق البرمجيات الخبيثة.
نموذج الاشتراك والتسويق
تُباع البرمجية بنظام الاشتراك الشهري، حيث تتوفر حزمتان:
- الحزمة الأساسية (Basic) بسعر 295 دولار شهرياً.
- الحزمة المتقدمة (Advanced) بسعر 585 دولار شهرياً.
هذا النموذج يعكس الاتجاه المتزايد نحو Malware-as-a-Service (MaaS)، حيث يتم تسويق البرمجيات الخبيثة كخدمات جاهزة للمجرمين السيبرانيين، مع توفير خيارات تناسب مختلف مستويات الاستخدام.
آلية التوزيع
أحد أبرز الآليات التي يتم عبرها توزيع AuraStealer هي أداة تُعرف باسم ClickFix، والتي تُستخدم لنشر البرمجية على نطاق واسع بين الضحايا. هذه الطريقة تتيح للمهاجمين الوصول إلى عدد كبير من الأجهزة بسرعة، ما يزيد من خطورة انتشار البرمجية وتأثيرها.
