ظهرت مؤخرًا منصة Venom Stealer كخدمة برمجيات خبيثة (Malware-as-a-Service – MaaS) يتم بيعها في منتديات الجرائم الإلكترونية باشتراك شهري يتراوح بين 250 دولارًا وحتى 1,800 دولار للوصول مدى الحياة. يتم تسويقها على أنها “المفترس الأعلى لاستخراج المحافظ”، حيث تختلف عن أدوات السرقة التقليدية بقدرتها على أتمتة سرقة بيانات الاعتماد وإنشاء خط أنابيب مستمر لاستخراج البيانات حتى بعد انتهاء الحمولة الأولية.
دمج ClickFix في الهجوم
وفقًا لشركة BlackFog، فإن Venom Stealer يدمج تقنيات ClickFix مباشرة في لوحة التحكم الخاصة بالمهاجم، مما يسمح بأتمتة جميع خطوات الهجوم بعد الوصول الأولي.
النسخة الجديدة من ClickFix استبدلت أوامر PowerShell باستخدام أمر rundll32.exe لتنزيل ملف DLL من مورد WebDAV خاضع لسيطرة المهاجم. هذا يؤدي إلى تشغيل محمل ثانوي يسمى SkimokKeep، الذي يقوم بتنزيل حمولة إضافية، مع دمج آليات مضادة للفحص في بيئات Sandbox وآليات مضادة للتصحيح البرمجي.
استهداف مستخدمي أدوات الذكاء الاصطناعي
الحملات الأخيرة لـ ClickFix استغلت عمليات البحث عن شروحات تثبيت أدوات الذكاء الاصطناعي مثل OpenClaw وClaude، إضافة إلى حلول لمشكلات شائعة في macOS، لدفع برمجيات سرقة مثل MacSync. هذا النهج يعكس استغلال المهاجمين لاهتمامات المطورين والباحثين في مجال الذكاء الاصطناعي كوسيلة لنشر البرمجيات الخبيثة.
دلالات أمنية
انتشار منصات مثل Venom Stealer يوضح التحول في سوق البرمجيات الخبيثة نحو النماذج التجارية القائمة على الاشتراك، حيث يحصل المهاجمون على أدوات متقدمة جاهزة للاستخدام مقابل رسوم شهرية. هذا يعزز من خطورة الهجمات ويزيد من سهولة وصول مجرمي الإنترنت إلى تقنيات متطورة، مما يفرض على المؤسسات تعزيز قدراتها في الكشف المبكر ومراقبة سلوكيات الشبكة بدلًا من الاعتماد فقط على أدوات الحماية التقليدية.
