Netcrook Logo
👤 CRYSTALPROXY
🗓️ 07 Jan 2026   🌍 Asia

خداع التنزيل: قراصنة بلاك كات يختطفون نتائج البحث لنشر برمجيات خبيثة سارقة للبيانات متنكرة في هيئة Notepad++

العنوان الفرعي: مجرمو الإنترنت يسلّحون مواقع تنزيل مزيفة والتلاعب بمحركات البحث لإصابة مئات الآلاف من المستخدمين غير المرتابين بأبواب خلفية مخصّصة.

تبدأ القصة ببحث بسيط: «تنزيل Notepad++». لكن بالنسبة لنحو 278,000 مستخدم إنترنت في الصين، تحوّل ذلك الاستعلام البريء إلى الخطوة الأولى داخل فخ إلكتروني متقن. خلف الكواليس، نسّقت مجموعة القراصنة سيئة الصيت «بلاك كات» حملة حوّلت الثقة بمحركات البحث إلى سلاح، مستدرِجة الضحايا لتثبيت برمجيات خبيثة متنكرة كبرامج شرعية. الهدف؟ بياناتك، وبيانات اعتمادك، وإن كنت تتعامل بالعملات المشفّرة - أصولك الرقمية.

تشريح عملية سطو رقمية

تُعدّ أحدث حيلة لبلاك كات درساً متقناً في الهندسة الاجتماعية والتمويه التقني. وبالاستفادة من حيل تحسين محركات البحث (SEO)، دفعت المجموعة موقعها المزيف لتنزيل Notepad++ إلى قمة قوائم البحث. بدا الموقع الاحتيالي شبه مطابق للأصلي، مع شروحات وخيارات تنزيل متعددة. ورؤية واجهة مألوفة جعلت المستخدمين لا يشكون في شيء.

لكن الخداع لم يتوقف عند صفحة رئيسية مقنعة. فقد جرى تمرير الضحايا عبر سلسلة من الصفحات التي تبدو أصلية، بعضها مصمم ليشبه GitHub، قبل أن يُقدَّم لهم في النهاية مُثبّت مفخخ. وما إن يُشغَّل، ينشئ البرنامج الخبيث اختصاراً على سطح المكتب يطلق سراً باباً خلفياً بدلاً من Notepad++ الحقيقي.

في العمق، استخدمت البرمجية الخبيثة تقنيات متقدمة مثل التحميل الجانبي لـ DLL وحمولات مشفّرة لتفادي الرصد. كما قرأت بيانات الإعداد من سجل النظام وأنشأت اتصالاً خفياً مع نطاق للتحكم والسيطرة (sbido.com)، مسجّل ومُدار حصرياً من قبل بلاك كات. وتضمنت عدة البرمجية سرقة بيانات اعتماد المتصفح، وتسجيل ضغطات المفاتيح، ومراقبة الحافظة، وتسريباً منهجياً للبيانات - كل ما يلزم لسرقة الهوية أو التجسس أو الاحتيال المالي.

مشهد تهديدات يتسع

ليست هذه المرة الأولى لبلاك كات. فمنذ 2022، نسّقت المجموعة عمليات سطو على العملات المشفّرة ووزّعت برمجيات خبيثة متنكرة كتطبيقات شائعة، بما في ذلك Chrome وQQ International. وقد تطورت حملاتهم من استهداف متداولي العملات المشفّرة إلى مهاجمة المستخدمين العاديين بلا تمييز.

وبحلول ديسمبر 2025، كان الحجم صادماً: ارتفعت الإصابات اليومية إلى أكثر من 62,000 نظام متصل بالإنترنت، مع تسجيل مئات الآلاف من اتصالات التحكم والسيطرة. ويحذّر خبراء الأمن من أن مثل هذه الحملات ستستمر على الأرجح ما دام المستخدمون يثقون بترتيب نتائج البحث أكثر من مصادر التنزيل الرسمية.

كيف تبقى آمناً في عالم المزوّرات

يحث الخبراء المستخدمين على تنزيل البرامج فقط من المواقع الرسمية والتحقق من سلامة الملفات عبر فحص التجزئة (hash) وفحوصات مضادات الفيروسات. وينبغي على المؤسسات نشر حماية قوية لنقاط النهاية ومراقبة أي نشاط مريب. وإذا اشتُبه بحدوث اختراق، فإن الاستجابة الفورية للحوادث - بما في ذلك التحليل الجنائي ومعالجة الأنظمة - أمر حاسم.

الخلاصة

تؤكد حملة بلاك كات حقيقة مخيفة: في العصر الرقمي، الثقة سلاح، ويمكن تحويل محركات البحث ضدنا. ومع صقل مجرمي الإنترنت لتكتيكاتهم وتوسيع نطاقهم، تبقى اليقظة والشك الصحي خط دفاعنا الأول. في المرة القادمة التي تبحث فيها عن تنزيل، تذكّر - ما تنقر عليه قد يكلّفك أكثر مما تتصور.

WIKICROOK

  • SEO (تحسين محركات البحث): يستخدم SEO استراتيجيات لتحسين ترتيب موقع الويب على محركات البحث مثل Google، مما يسهل على المستخدمين العثور على المعلومات ذات الصلة عبر الإنترنت.
  • DLL Side: DLL Side هي تقنية يخدع فيها المهاجمون البرامج لتحميل ملفات DLL خبيثة، متجاوزين الحماية والحصول على وصول أو تحكم غير مصرح به.
  • Command: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالباً من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحياناً لأغراض خبيثة.
  • Backdoor: الباب الخلفي هو طريقة مخفية للوصول إلى كمبيوتر أو خادم، متجاوزة فحوصات الأمان المعتادة، وغالباً ما يستخدمها المهاجمون للحصول على تحكم سري.
  • Data Exfiltration: تسريب البيانات هو النقل غير المصرح به لبيانات حساسة من نظام الضحية إلى سيطرة المهاجم، وغالباً لأغراض خبيثة.
Black Cat Malware Cybersecurity
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news