مجرمو الإنترنت يزينون القاعات: برمجية "سانتا ستيلر" الخبيثة تستهدف محافظك وكلمات مرورك وخصوصيتك

برمجية خبيثة جديدة كخدمة، تُدعى سانتا ستيلر، تظهر من الظلال - واعدة بسرقة بيانات جماعية لكنها تكشف عن نقاط ضعف تشغيلية خاصة بها.

ليس هذا هو النوع من الهدايا الذي ترغب في العثور عليه في جواربك الرقمية: عملية برمجيات خبيثة جديدة، أطلق عليها اسم سانتا ستيلر، تثير ضجة في المنتديات السرية وقنوات تيليغرام. وبينما يتفاخر مشغلوها بسرقة بيانات الاعتماد بشكل غير قابل للكشف وميزات متقدمة، فقد كشف باحثو الأمن السيبراني عن ثغرات في بهجتها الاحتفالية - كاشفين عن أخطاء تشغيلية قد تمنح المدافعين اليد العليا، في الوقت الحالي.

حقائق سريعة

سانتا ستيلر هي برمجية خبيثة لسرقة المعلومات تم إعادة تسويقها، وتُعرض على تيليغرام ومنتديات القراصنة كخدمة اشتراك.
تستهدف بيانات الاعتماد، والمستندات، وبيانات المتصفح، ومحافظ العملات الرقمية - باستخدام عمليات في الذاكرة لتجنب الاكتشاف القائم على الملفات.
العينات المسربة ضعيفة التمويه، مع سلاسل نصية وأسماء دوال واضحة، مما يجعل تحليلها سهلاً للباحثين.
يمكن للوكلاء شراء الوصول مقابل 175–300 دولار شهرياً، مع لوحة ويب للإعداد والإدارة.
رغم الادعاءات الجريئة، فإن العيوب التقنية والبنية التحتية غير المؤمنة تقوض وعود البرمجية بالتخفي.

موجة جديدة من البرمجيات الخبيثة كخدمة

تجسد سانتا ستيلر الاتجاه المتزايد لـ"البرمجيات الخبيثة كخدمة" (MaaS)، حيث يؤجر مجرمو الإنترنت أدوات هجوم جاهزة للوكلاء. ويُروَّج لها كوريث لـ"بلو لاين ستيلر"، ومن المقرر إصدارها على نطاق أوسع بحلول نهاية عام 2025. يعلن مشغلو البرمجية أنها "غير قابلة للكشف بالكامل"، مكتوبة بلغة C، ومزودة بمحرك متعدد الأشكال مخصص - وهي ميزات تهدف لجذب المشترين الباحثين عن طرق جديدة لتجاوز برامج مكافحة الفيروسات.

لكن الواقع أقل إثارة للإعجاب. فقد اكتشف باحثو مختبرات Rapid7، الذين رصدوا سانتا ستيلر لأول مرة في ديسمبر 2025، أن العينات المسربة تحتوي على أكثر من 500 اسم دالة وكمية كبيرة من بيانات الإعدادات بنص واضح. هذه الهفوات تجعل البرمجية مرئية بشكل غير معتاد لأدوات الأمان، بعكس ما تروج له.

كيف تعمل سانتا ستيلر

بمجرد نشرها - عادة عبر روابط تصيد، مرفقات خبيثة، أو برامج مقرصنة - تبدأ البرمجية عملها بالكامل في الذاكرة، تاركة القليل من الآثار على القرص. تصميمها المعياري يتضمن روتينات متخصصة لسرقة البيانات من المتصفحات (خاصة تلك المبنية على كروميوم)، وتطبيقات المراسلة مثل تيليغرام وديسكورد، ومنصات الألعاب عبر الإنترنت مثل ستيم. يمكن للبرمجية أيضاً جمع لقطات شاشة، متغيرات البيئة، وبيانات الملء التلقائي، وضغط كل شيء في ملفات ZIP مشفرة وإرسالها إلى خوادم بعيدة عبر بروتوكول HTTP غير مشفر.

تشمل الحيل التقنية لسانتا ستيلر تجاوز تشفير المتصفح باستخدام ملف تنفيذي مدمج مبني على مشروع ChromElevator مفتوح المصدر، وتطبيق تكتيكات مضادة للتحليل مثل التحقق من وجود آلات افتراضية أو إعدادات نظام مشبوهة. ومن اللافت أنها تتجنب العمل على الأنظمة التي تحتوي على لوحات مفاتيح باللغة الروسية - مما يشير إلى صلات المشغلين بدول رابطة الدول المستقلة.

طموحات إجرامية، أخطاء هواة

يقدم مشغلو سانتا ستيلر لوحة ويب أنيقة للوكلاء، مع تسعير متدرج وخيارات تخصيص للبناء. لكن افتقارهم للأمان التشغيلي - مثل إصدار نسخ تطويرية بكود غير مشفر وعناوين خوادم مضمنة - منح المدافعين بداية قوية. في الوقت الحالي، يمكن لفرق الأمان اكتشاف سانتا ستيلر بسهولة باستخدام الأدلة التي تركها منشئوها.

يوصي الخبراء باليقظة: لا تقم أبداً بتشغيل ملفات غير موثوقة، واحذر من حيل الهندسة الاجتماعية والتنزيلات المشبوهة، وابقَ على حماية نقاط النهاية محدثة بأحدث مؤشرات التهديد.