كلمة السر ومحفظتك في خطر.. ما لا تعرفه عن برمجية "SantaStealer"

رصد باحثو الأمن تهديدا إلكترونيا جديدا استهدف مستخدمي نظام ويندوز بالتزامن مع موسم الأعياد، بعدما كشفوا عن برمجية خبيثة لسرقة كلمات المرور والبيانات الحساسة تعرف باسم “SantaStealer”.

,يعمل هذا البرنامج الخبيث على سرقة بيانات الاعتماد، ومحافظ العملات المشفرة، وملفات ووثائق حساسة من أجهزة الضحايا، إذ تمكن باحثو الأمن في مختبرات Rapid7 من رصد “SantaStealer” للمرة الأولى مطلع ديسمبر، مستغلا واحدة من أكثر فترات العام ازدحاما بالنشاط الإلكتروني.

وقال ميلان سبينكا، الباحث الأمني والقرصان الأخلاقي في شركة Rapid7، إن البرمجية الخبيثة طرحت للبيع قبل عيد الميلاد، وجرى تسويقها عبر قنوات Telegram وأسواق الجرائم الإلكترونية السرية، ما يشير إلى تنظيم واضح خلف عمليات نشرها.

ما هو “SantaStealer”؟

يعمل “SantaStealer” كنموذج “برمجية خبيثة كخدمة”، حيث يمكن للمهاجمين الاشتراك فيه مقابل رسوم شهرية، إذ يبدأ البرنامج بعد تثبيته، بجمع وسرقة المستندات الحساسة، وأسماء المستخدمين، وكلمات المرور، وبيانات التطبيقات، إلى جانب محافظ العملات الرقمية، من مصادر متعددة داخل النظام.

ويؤكد سبينكا أن خطورة البرنامج تكمن في قدرته على العمل بالكامل داخل الذاكرة، ما يجعل اكتشافه صعبا للغاية باستخدام أدوات الفحص الأمني التقليدية، وقد يبقى المستخدم غير مدرك لوجوده لفترات طويلة.

آلية العمل على أنظمة ويندوز

يصنف “SantaStealer” كتهديد معياري، يتيح للمهاجمين تفعيل وظائف مختلفة بحسب احتياجاتهم، من بينها التقاط لقطات شاشة لسطح المكتب واستخراج البيانات من تطبيقات شائعة مثل “جوجل كروم”.

ورغم قدرته على تجاوز بعض آليات حماية التشفير المرتبطة بمتصفح كروم، يشدد الباحثون على أن ذلك لا يعود إلى ثغرة أمنية عن بعد، بل يتطلب خداع الضحية لتشغيل ملف خبيث يدويا، غالبا بعد إقناعه بأنه ملف شرعي أو أداة مفيدة.

وتتراوح تكلفة الاشتراك في الخدمة بين 175 و300 دولار شهريا، وتشير التقديرات إلى أن مطور البرمجية ناطق باللغة الروسية.

ورغم أن هذا السعر قد يحد من انتشارها الواسع، فإنه يعكس اعتمادا على هجمات مدروسة ومقصودة، ما يزيد من خطورة الوقوع ضحية لأساليب الهندسة الاجتماعية المتقنة.

لماذا تتفاقم المخاطر خلال العطلات؟

تعد فترات العطلات من أكثر الأوقات نشاطا لمجرمي الإنترنت، إذ يكون المستخدمون أكثر قابلية للنقر على روابط مجهولة، أو تحميل برامج مقرصنة، أو تشغيل ملفات تدعي تقديم خصومات، أو أدوات مساعدة للألعاب، أو حتى عمليات تحقق مزيفة.

وأوضح سبينكا أن المهاجمين اعتمدوا بشكل كبير على رسائل دعم فني مزيفة، أو تعليمات تطلب من المستخدمين تنفيذ أوامر مباشرة على أجهزتهم.

كيف يمكن تقليل المخاطر؟

تنصح شركة Rapid7 بتوخي الحذر الشديد عند التعامل مع مرفقات البريد الإلكتروني غير المعروفة، وتجنب الروابط المشبوهة، ورفض أي طلبات تتطلب تنفيذ إجراءات على مستوى النظام دون تحقق.

ويؤدي تشغيل البرامج غير الموثوقة، أو المقرصنة، أو إضافات المتصفح من مصادر غير معروفة إلى زيادة خطر الإصابة ببرمجية “SantaStealer”.

وتوفر مايكروسوفت بدورها مجموعة من موارد وإرشادات الأمان لمستخدمي ويندوز، للمساعدة في الكشف المبكر عن الأنشطة الضارة ومنعها قبل التسبب في أضرار جسيمة.