لصوص يُسلبون بأدواتهم: باحثو أمن يسيطرون على إمبراطورية برمجية StealC الخبيثة
العنوان الفرعي: يستغل الباحثون ثغرات في بنية مُسرِق المعلومات StealC، فيقلبون الطاولة على مجرمي الإنترنت ويكشفون عملية واسعة لسرقة بيانات الاعتماد.
في انقلاب جريء للأدوار، تمكّن باحثون في الأمن السيبراني من التسلل إلى مركز القيادة الرقمي لـ StealC، وهو برنامج خبيث سيّئ السمعة لسرقة المعلومات، مستغلين نقاط الضعف ذاتها التي يستخدمها المجرمون لاستهداف ضحاياهم. ومن خلال اختراق لوحة تحكم StealC، أصبح الصيادون هم المطاردين - كاشفين آليات عمل عملية جريمة إلكترونية يديرها شخص واحد، مسؤولة عن نهب مئات الآلاف من كلمات المرور وملايين ملفات تعريف الارتباط للمتصفح حول العالم.
قلب الطاولة على StealC
ظهر StealC في منتديات تحت الأرض مطلع 2023، وسرعان ما اكتسب زخمًا بوصفه مُسرِق معلومات أنيقًا وسهل الاستخدام للإيجار. وكانت نقطة بيعه الأساسية: لوحة ويب مصقولة تتيح للمجرمين إدارة الأجهزة المصابة وسحب البيانات الحساسة مثل ملفات تعريف الارتباط وكلمات المرور. لكن البنية ذاتها التي غذّت موجة جرائم StealC تحولت إلى كعب أخيل.
بعد إصدار StealC v2، تسرّبت الشيفرة المصدرية للوحة الويب، ما لفت انتباه باحثي الأمن. وكشف تحليلهم عن ثغرة حرجة من نوع البرمجة عبر المواقع (XSS) - مفارقة لافتة في منصة بُنيت لسرقة بيانات الاعتماد. وباستغلال هذا الخلل، حصل الباحثون على وصول فوري إلى الواجهة الخلفية لـ StealC، فراقبوا نشاط المجرمين، وتتبعوا الأجهزة المصابة، بل وسرقوا ملفات تعريف ارتباط الجلسات من اللصوص أنفسهم.
صلة “YouTubeTA”
سلّط التحقيق الضوء على جهة تهديد لُقّبت بـ “YouTubeTA”، مسؤولة عن اختراق أكثر من 5,000 جهاز. وكان مدى العملية مذهلًا: جرى سحب أكثر من 390,000 كلمة مرور و30 مليون ملف تعريف ارتباط، كثير منها لمستخدمين يبحثون عن نسخ مقرصنة من برامج مثل Adobe Photoshop وAfter Effects. واستولى “YouTubeTA” على قنوات يوتيوب شرعية خاملة، وأعاد تفعيلها لدفع روابط تنزيل لبرامج مقرصنة محمّلة بالبرمجيات الخبيثة إلى مشاهدين غير مرتابين.
تضمنت لوحة تحكم StealC ميزة “markers” التي أظهرت أن بيانات اعتماد studio.youtube.com كانت هدفًا رئيسيًا - ما يتيح المزيد من الاستيلاء على الحسابات وتوزيع البرمجيات الخبيثة. وأشارت البصمات الرقمية، بما في ذلك مواصفات العتاد وبيانات المنطقة الزمنية، إلى مشغّل واحد في أوروبا الشرقية. وعندما دخل المجرم إلى اللوحة دون حماية VPN، أكد عنوان IP مرتبط بمزوّد خدمة إنترنت أوكراني المسار الجغرافي.
البرمجيات الخبيثة كخدمة: نعمة ونقمة
يكشف اختراق StealC عن خلل قاتل في نموذج «البرمجيات الخبيثة كخدمة». فبينما يتيح MaaS لمشغّلين منفردين تشغيل حملات واسعة لسرقة بيانات الاعتماد، فإنه يخلق أيضًا ثغرات منهجية. وقد سمحت ممارسات أمنية سيئة - مثل عدم تفعيل حماية ملفات تعريف الارتباط عبر httpOnly - للباحثين بمراقبة جميع عملاء StealC دفعة واحدة، وقلب الطاولة على منظومة إجرامية كاملة.
الخلاصة: عندما يدفع الجُرم… معلومات استخباراتية
تُعد هذه الحادثة تذكيرًا صارخًا بأن بنى الجريمة الإلكترونية، التي تُبنى غالبًا على العجلة والغرور، قد تتحول إلى منجم ذهب للمدافعين. فبينما يسارع المجرمون لتجاوز فرق الأمن، يتركون شقوقًا في درعهم - شقوقًا يمكن، عند اكتشافها، أن تُنير أحلك زوايا عالم الجريمة السيبرانية وتمنح أملًا جديدًا في مكافحة السرقة الرقمية.
WIKICROOK
- مُسرِق المعلومات: مُسرِق المعلومات هو برمجية خبيثة مصممة لسرقة بيانات حساسة - مثل كلمات المرور أو بطاقات الائتمان أو المستندات - من أجهزة الكمبيوتر المصابة دون علم المستخدم.
- البرمجيات الخبيثة: البرمجيات الخبيثة هي برنامج ضار صُمّم للتسلل إلى الأجهزة الحاسوبية أو إتلافها أو سرقة البيانات منها دون موافقة المستخدم.
- Cross: البرمجة عبر المواقع (XSS) هي هجوم سيبراني يحقن فيه المخترقون شيفرة خبيثة في مواقع الويب لسرقة بيانات المستخدم أو اختطاف الجلسات.
- ملف تعريف ارتباط الجلسة: ملف تعريف ارتباط الجلسة هو ملف مؤقت في متصفحك يُبقيك مسجّل الدخول إلى موقع ما؛ وإذا سُرق، فقد يتيح للآخرين الوصول إلى حسابك.
- بصمة العتاد: تحدد بصمة العتاد الأجهزة عبر تحليل سمات عتادية فريدة مثل بطاقات الرسوميات أو حجم الشاشة، ما يساعد في الأمن لكنه يثير مخاوف تتعلق بالخصوصية.
