السرقة في الظلال: كيف يتفوق Phantom Stealer على أنظمة الأمان لنهب حياتك الرقمية

تبدأ القصة بنقرة واحدة - ملف يبدو بريئًا يعدك بتثبيت برنامج أدوبي. لكن خلف هذا الرمز المألوف يختبئ لص رقمي، متطور لدرجة أنه يستطيع تجاوز معظم الدفاعات والفرار بمفاتيح مملكتك الإلكترونية. تعرف على Phantom Stealer الإصدار 3.5، جيل جديد من البرمجيات الخبيثة التي تجمع البيانات، وتحول المستخدمين العاديين إلى ضحايا غير مدركين في لعبة تجسس إلكتروني عالية المخاطر.

داخل كتاب خطط Phantom

لاحظ الباحثون الأمنيون لأول مرة Phantom Stealer عندما ظهر "مثبت Adobe 11.7.7" مشبوه على VirusTotal في أواخر أكتوبر 2025. ما بدا برنامجًا غير ضار كان في الحقيقة ملف XML مشفر مليء بجافاسكريبت مخفية. عند تشغيله، يتصل هذا الكود بهدوء بخادم بعيد لجلب سكريبت PowerShell باسم "floor.ps1" مصمم للعمل دون أن يلاحظه أحد، متجاوزًا تحذيرات ويندوز المعتادة.

احتوى سكريبت PowerShell على حمولة مشفرة بخوارزمية RC4 وترميز base64، والتي عند فك تشفيرها، تقوم بتحميل مكتبة .NET باسم "BLACKHAWK.dll". لم يعمل هذا المكون بمفرده، بل قام بحقن نفسه في عملية ويندوز موثوقة (Aspnet_compiler.exe)، مستخدمًا تقنيات متقدمة في إدارة الذاكرة لتنفيذ الكود الرئيسي للسرقة بشكل غير مرئي. وباستغلال ميزات العزل في بيئة .NET، أصبح Phantom شبه غير مرئي لأدوات الأمان التقليدية.

الغنيمة: ماذا يسرق Phantom

بمجرد دخوله، يطلق Phantom Stealer عملية سرقة رقمية شاملة. يستخرج بشكل منهجي بيانات اعتماد المتصفح وملفات تعريف الارتباط وبيانات الملء التلقائي من كروم وإيدج ومتصفحات مشابهة. ومن خلال الحصول على مفاتيح AES الرئيسية المستخدمة لتشفير المتصفح، يمكنه فك تشفير كلمات المرور والمعلومات المالية المحفوظة بكفاءة مرعبة. ولا تتوقف السرقة هنا: يبحث Phantom أيضًا عن بيانات محافظ العملات الرقمية، وبيانات اعتماد ديسكورد وأوتلوك، وكلمات مرور الواي فاي، ويسجل كل ضغطة مفتاح، ويلتقط النشاط في الوقت الحقيقي ولقطات الشاشة.

البقاء مخفيًا: ترسانة التمويه

Phantom ليس مجرد لص - بل هو سيد في التنكر. قبل أن ينشر نفسه بالكامل، يفحص بيئته بحثًا عن علامات التحليل، مثل أسماء مستخدمين معروفة في بيئات الاختبار أو الأجهزة الافتراضية. إذا شعر بأنه تحت المراقبة، "يذوب" ويمحو كل أثر له لإحباط فرق التحليل الجنائي. أما حيلته الأبرز فهي تقنية "Heaven’s Gate"، التي تسمح للكود 32-بت بالتحول سرًا إلى عمليات 64-بت، متجاوزًا أدوات الأمان التي تراقب نوعًا واحدًا فقط.

لنقل البيانات المسروقة، يستخدم Phantom مزيجًا من القنوات - البريد الإلكتروني (SMTP)، وFTP، وديسكورد، وتيليجرام - غالبًا مع بيانات اعتماد مشفرة بترميز base64. تصميمه المعياري يجعله قادرًا على التكيف والبقاء والاختفاء بفعالية مقلقة، مما يجعله كابوسًا للمستخدمين والمدافعين على حد سواء.

تأملات: الحماية من غير المرئي

يمثل ظهور Phantom Stealer v3.5 فصلًا مقلقًا جديدًا في عالم الجريمة الإلكترونية. من خلال المزج بين المهارة التقنية والهندسة الاجتماعية، يرفع المهاجمون سقف التهديد للجميع على الإنترنت. ينصح الخبراء بالحذر: لا تقم بتنزيل البرامج إلا من مصادر موثوقة، وحدث أنظمتك باستمرار، وفكر في تشغيل الملفات المجهولة في بيئة معزولة. في عالم يمكن فيه لبرمجيات خبيثة مثل Phantom أن تختفي دون أثر، أفضل دفاع هو الحذر - وقسط وافر من الشك.

ويكي كروك

• التعتيم: التعتيم هو ممارسة إخفاء الكود أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمان.
• PowerShell: PowerShell هي أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن غالبًا ما يستغلها المهاجمون لتنفيذ أعمال خبيثة بشكل خفي.
• حقن العمليات: حقن العمليات هو عندما تختبئ البرمجيات الخبيثة داخل عمليات برامج شرعية، مما يصعب على أدوات الأمان اكتشاف التهديد وإزالته.
• Heaven’s Gate: تقنية Heaven’s Gate هي أسلوب برمجي يسمح لعمليات 32-بت بتشغيل كود 64-بت، وغالبًا ما تُستخدم لتجاوز إجراءات الأمان في أنظمة ويندوز.
• تشفير RC4: تشفير RC4 هو طريقة قديمة وغير آمنة لتشفير البيانات، ويعتبر الآن عرضة للاختراق ولا يُنصح باستخدامه في الوقت الحاضر.