«خاطفو الجلسات»: برمجية Socelars الخبيثة المتخفّية التي تستنزف ميزانيات الإعلانات وتختطف الحياة على الإنترنت

يبدأ الأمر بتنزيل بسيط - قارئ PDF يبدو غير مؤذٍ، ربما لوظيفة جديدة أو مشروع. خلال ثوانٍ، لا تصبح هويتك على الإنترنت مُخترَقة فحسب؛ بل تُعرَض للبيع. في أنحاء العالم، يطلق مجرمو الإنترنت Socelars، وهو حصان طروادة جديد لسرقة المعلومات يفرّغ ميزانيات الإعلانات ويستولي على الحسابات قبل أن يدرك الضحايا حتى ما الذي أصابهم.

حقائق سريعة

• Socelars حصان طروادة متخفٍّ يستهدف مستخدمي Windows لسرقة بيانات جلسات المتصفح.
• تنتشر البرمجية عبر مُثبّتات مزيفة لقارئ PDF تبدو شرعية لكنها تنشر شيفرة خبيثة.
• تُسرق جلسات Facebook وAmazon لدى الضحايا، ما يتيح الاستيلاء الفوري على الحسابات وإطلاق حملات إعلانية احتيالية.
• تستخدم Socelars تقنيات متقدمة مثل تصعيد الامتيازات وتكتيكات مضادة للتحليل لتفادي الاكتشاف.
• يحثّ الباحثون على اتخاذ إجراءات دفاعية سريعة، إذ قد تؤدي الحسابات المخترَقة إلى سرقة مالية وإضرار بالسمعة.

داخل سلسلة هجوم Socelars

على عكس الفوضى الصاخبة لبرمجيات الفدية، تعمل Socelars في صمت. اختصاصها؟ اختطاف حياتك على الإنترنت عبر سرقة ملفات تعريف الارتباط الخاصة بالجلسات ورموز المصادقة - مفاتيح رقمية تتيح للمهاجمين انتحال شخصيتك على منصات مثل Facebook وAmazon. وبوجودها، يمكن للمجرمين تجاوز كلمات المرور، والاستيلاء فورًا على الحسابات، وإحداث فوضى في الحملات الإعلانية أو استنزاف وسائل الدفع.

يبدأ الهجوم عادةً بحيلة مقنعة: مُثبّت مزيف لقارئ PDF، يحمل اسمًا خادعًا ومتنكرًا كأداة إنتاجية. ما إن يُشغَّل، حتى تُسقِط البرمجية ملفاتها بهدوء داخل مجلد “pdfreader2019”، ثم تبدأ تمشيط Chrome وFirefox بحثًا عن جلسات تسجيل الدخول المخزنة. ومن خلال قراءة ملفات قواعد بيانات ملفات تعريف الارتباط، تنتزع Socelars الرموز ذاتها التي تُبقي المستخدمين مسجّلين الدخول - من دون حاجة إلى تصيّد كلمات المرور.

ولا ينتهي التعقيد التقني عند هذا الحد. تُجري Socelars استطلاعًا للنظام للتأكد من أنها ليست داخل بيئة عزل (sandbox)، ثم تحاول تصعيد امتيازاتها باستخدام ميزات Windows المدمجة، وتحديدًا آلية الرفع التلقائي لـ UAC (التحكم في حساب المستخدم). كما تُنشئ mutex (“patatoes”) لمنع التشغيل المتعدد، بل وتقوم حتى بـ“تعطيل” نفسها لتبدو كفشل برمجي بريء، وتمحو الآثار أثناء ذلك.

الجلسات المسروقة مناجم ذهب لمجرمي الإنترنت. على Facebook، يمكن للمهاجمين الاستيلاء على Ads Manager، وإطلاق حملات وهمية، أو استنزاف الميزانيات المدفوعة مسبقًا خلال دقائق. وتُحصَد تفاصيل الدفع والبريد الإلكتروني ومعلومات الصفحات لمزيد من الاستغلال أو لإعادة بيعها في الأسواق المظلمة. كما يُستخدم توجيه الحركة إلى مواقع تتبّع مثل iplogger[.]org لمراقبة الأجهزة المصابة.

ما الذي يمكن فعله؟

يوصي خبراء الأمن بدفاع متعدد الطبقات: تجنّب تنزيل البرامج من مصادر غير رسمية، ومراقبة الوصول إلى ملفات تعريف الارتباط في المتصفح، وتعطيل تصعيد الامتيازات غير الضروري، واستخدام أدوات مثل Anyrun لتحليل الملفات المشبوهة. إن إبقاء الأنظمة والمتصفحات مُحدَّثة، ومراقبة حركة الشبكة غير المعتادة، قد يصنع كل الفارق.

الخلاصة

Socelars تذكير صارخ: أخطر التهديدات السيبرانية غالبًا هي الأكثر هدوءًا. ومع نمو منصات الأعمال عبر الإنترنت، تتزايد كذلك حوافز اللصوص الرقميين. إن البقاء متيقظًا - عبر عادات جيدة وضوابط تقنية - يظل الدرع الأكثر فاعلية ضد عدو غير مرئي يتربص خلف نقرة واحدة.

WIKICROOK

• ملف تعريف ارتباط الجلسة: ملف تعريف ارتباط الجلسة هو ملف مؤقت في متصفحك يُبقيك مسجّلًا الدخول إلى موقع؛ وإذا سُرق، قد يتيح للآخرين الوصول إلى حسابك.
• حصان طروادة: حصان طروادة هو برنامج خبيث متنكر في هيئة تطبيق شرعي، صُمّم لخداع المستخدمين لتثبيته كي يتمكن من سرقة البيانات أو إلحاق الضرر بالأجهزة.
• تصعيد الامتيازات: يحدث تصعيد الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلًا من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
• Mutex: الـ mutex هو قفل رقمي يمنع تشغيل عدة نسخ من برنامج في الوقت نفسه، وغالبًا ما تستخدمه البرمجيات الخبيثة والمدافعون لأغراض الكشف.
• UAC (التحكم في حساب المستخدم): التحكم في حساب المستخدم (UAC) ميزة في Windows تطلب الإذن قبل السماح بإجراء تغييرات على النظام، ما يساعد على منع الإجراءات غير المصرح بها أو الضارة.