Netcrook Logo
👤 TRUSTBREAKER
🗓️ 16 Apr 2026  

برمجيات موثوقة، تهديد حصان طروادة: شبكات VPN المزيّفة وتعديلات الألعاب تغذّي موجة تصاعد برمجية NWHStealer الخبيثة

العنوان الفرعي: يستغلّ مجرمو الإنترنت سمعة الأدوات الشائعة وتعديلات الألعاب لنشر سارِق معلومات متخفٍّ لنظام Windows ضمن حملة تتسارع وتيرتها بسرعة.

تبدأ القصة ببحث بسيط عن VPN أو تعديل للعبة - أفعال يومية لملايين المستخدمين. لكن خلف مواقع تبدو واقعية ودروس YouTube الإرشادية يكمن نوع جديد من الهجمات السيبرانية: عملية NWHStealer، التي تسلّح الثقة في البرمجيات المعروفة لاختراق أنظمة Windows على نطاق واسع.

حقائق سريعة

  • ينشر المهاجمون NWHStealer عبر مُثبّتات ProtonVPN المزيّفة، وتعديلات الألعاب، وأدوات النظام.
  • تُستضاف الملفات الخبيثة على نطاقات شبيهة، وGitHub، وSourceForge، وحتى منصات استضافة آلات افتراضية مجانية على الويب.
  • قنوات YouTube بدروس مُولَّدة بالذكاء الاصطناعي توجّه مستخدمين غير مرتابين لتنزيل مُثبّتات مُصابة.
  • يستهدف NWHStealer بيانات اعتماد المتصفح، ومحافظ العملات المشفّرة، ويعطّل وسائل الدفاع الأمنية.
  • تستخدم البرمجية الخبيثة تقنيات متقدمة مثل اختطاف DLL، وحقن العمليات، واتصالات C2 المشفّرة.

كيف تعمل حملة NWHStealer

على خلاف عمليات التصيّد الأساسية، تستفيد هذه الحملة من مصداقية العلامات المحبوبة. ينشئ مجرمو الإنترنت مواقع توأم مقنعة لـ ProtonVPN وأدوات أخرى، تحاكي مظهرها حتى ملفات المُثبّت. هذه المواقع، إلى جانب الروابط في فيديوهات YouTube الخاصة بالألعاب أو التقنية، تغري الضحايا بتنزيل أرشيفات ZIP تبدو شرعية لكنها تُخفي تهديدًا متطورًا.

كشف الباحثون أن المهاجمين يسيئون أيضًا استخدام منصات مثل onworks[.]net - وهي خدمة شرعية تقدم آلات افتراضية عبر المتصفح - لاستضافة أرشيفات مُصابة. هذه الملفات، التي غالبًا ما تُسمّى بأسماء أدوات حقيقية مثل OhmGraphite أو Sidebar Diagnostics، تحتوي على ملفات تنفيذية مُغلّفة بمحملات مخصصة وحيل لمقاومة التحليل.

بمجرد تشغيلها، تحقن البرمجية الخبيثة نفسها داخل عمليات Windows الموثوقة مثل RegAsm.exe، ما يجعل اكتشافها صعبًا. بعض المتغيرات تختطف ملفات DLL في أدوات مثل WinRAR، بينما تستخدم أخرى محملات قائمة على MSI أو تفريغ العمليات (process hollowing). الهدف: تجاوز برمجيات الحماية وتحميل NWHStealer مباشرة إلى ذاكرة النظام.

في حالة مواقع ProtonVPN المزيّفة، تتضمن الأرشيفات ملفات DLL خبيثة تستغل ثنائيات شرعية. وتعرض فيديوهات YouTube - وغالبًا ما تكون بصوت وإنتاج مولّدين بالذكاء الاصطناعي - خطوات “التثبيت”، مشجعة المشاهدين على تقليدها. ولا يدرك الضحايا أنهم يشغّلون شيفرة ستجمع بهدوء بيانات متصفحهم وكلمات المرور ومحتويات محافظ العملات المشفّرة.

نطاق NWHStealer واسع: فهو يهاجم Chrome وEdge وBrave وOpera وغيرها من المتصفحات المبنية على Chromium. يحقن شيفرة لفك التشفير واستخراج البيانات الحساسة، ثم تُشفَّر مجددًا قبل إرسالها إلى خادم القيادة والتحكم. وإذا تعذّر الوصول إلى الخادم الرئيسي، تجلب البرمجية الخبيثة تعليمات جديدة عبر Telegram. ولضمان الاستمرارية، تعطل Windows Defender، وتخفي المجلدات، وتجدول المهام - وأحيانًا تستخدم حتى حيلًا معروفة لرفع الامتيازات في Windows.

ثق، لكن تحقّق

تُعد هذه الموجة من الهجمات تذكيرًا صارمًا: حتى مصادر التنزيل المألوفة يمكن تسليحها. ويُحث المستخدمون على التنزيل فقط من مواقع المورّدين الرسمية، والتحقق المزدوج من التواقيع الرقمية، وتجنّب البرمجيات “المجانية” أو “المعدّلة” التي يتم العثور عليها عبر YouTube أو منصات مشاركة الملفات. ومع ازدياد تطور تقنيات NWHStealer، تبقى اليقظة هي خط الدفاع الوحيد ضد برمجيات خبيثة ترتدي قناع الثقة.

WIKICROOK

  • اختطاف DLL: اختطاف DLL هو هجوم سيبراني يتم فيه تحميل ملف DLL مزيف بواسطة تطبيق، ما يسمح للمهاجمين بتشغيل شيفرة خبيثة على النظام.
  • حقن العمليات: حقن العمليات هو عندما تختبئ البرمجيات الخبيثة داخل عمليات برمجيات شرعية، مما يجعل من الأصعب على أدوات الأمان اكتشاف التهديد وإزالته.
  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • تفريغ العمليات: تفريغ العمليات هو تقنية تختبئ فيها البرمجيات الخبيثة داخل ذاكرة برنامج شرعي، ما يسمح لها بتفادي الاكتشاف وتنفيذ إجراءات خبيثة.
  • رفع الامتيازات: يحدث رفع الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، بالانتقال من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
NWHStealer Malware Cybersecurity
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news