يبرز برنامج AuraStealer كتهديد خبيث جديد يستهدف أنظمة ويندوز، ويقدم نفسه كخدمة برمجيات خبيثة متطورة. يستغل هذا البرنامج، الذي تم تطويره بلغة C++، حملات “Scam-Yourself” عبر منصات مثل تيك توك، حيث يتم خداع المستخدمين من خلال مقاطع فيديو توضيحية تقدم برامج مدفوعة مجانًا.
يشكل AuraStealer تهديدًا خطيرًا لأنظمة التشغيل ويندوز، حيث يستغل ثغرات أمنية لسرقة البيانات الحساسة. يتميز هذا البرنامج بقدرته على استهداف مجموعة واسعة من التطبيقات والمتصفحات، مما يجعله أداة قوية في أيدي مجرمي الإنترنت.
قدرات AuraStealer المتزايدة في سرقة البيانات
يقدم AuraStealer نفسه كمنصة شاملة لسرقة المعلومات، فهو قادر على استخلاص البيانات من أكثر من 110 متصفحًا، وحوالي 70 تطبيقًا مختلفًا، بما في ذلك محافظ العملات الرقمية وأدوات المصادقة الثنائية. يتميز البرنامج بنظام تكوين مرن يسمح بإضافة دعم لأكثر من 250 امتدادًا للمتصفحات.
تتضمن طرق توزيع البرنامج تحميلات خبيثة لألعاب مقلدة، وتنزيلات مشبوهة، بالإضافة إلى تدفقات تنفيذ متعددة المراحل تعتمد على أدوات تحميل مخصصة وتقنيات تحميل DLL الجانبية. تتيح هذه التكتيكات للبرنامج التحايل على الدفاعات الأمنية وزيادة فرص نجاحه.
نماذج الاشتراك وطرق الدفع
يعمل AuraStealer بنموذج اشتراك متدرج، حيث تتراوح الأسعار الشهرية بين 295 دولارًا و 585 دولارًا. يوفر هذا النموذج لمجرمي الإنترنت لوحة تحكم ويب مخصصة لإدارة البيانات المسروقة بكفاءة.
في البداية، كان البرنامج يدعم اللغة الروسية فقط، لكن تم تحديثه لاحقًا ليشمل اللغة الإنجليزية، مما يشير إلى أن المطورين يعملون ضمن مجتمعات الجريمة الإلكترونية الناطقة بالروسية.
تقنيات التخفي والمراوغة المتقدمة
على الرغم من تصميمه المتطور، إلا أن AuraStealer يحتوي على عدة نقاط ضعف تسمح بالتقاطه بواسطة الأدوات الأمنية. يطبق البرنامج فحوصات متقدمة قبل التنفيذ، بما في ذلك التحقق من الموقع الجغرافي لتجنب العمل في دول رابطة الدول المستقلة ودول البلطيق.
يقوم البرنامج بتقييم خصائص النظام مثل سعة الذاكرة وعدد المعالجات لكشف الأجهزة الافتراضية، ويتوقع وجود أربع معالجات على الأقل أو 200 عملية قيد التشغيل للمتابعة. كما يعرض مربع حوار يتطلب من المستخدم إدخال رمز عشوائي عند تشغيله بدون طبقات حماية، مما يعرقل التحليل الآلي في البيئات المعزولة.
آليات التشويش وتشفير النصوص
ينفذ البرنامج تقنيات تشويش لتدفق التحكم، حيث يستبدل القفزات والاتصالات المباشرة بأخرى غير مباشرة، ويتم حساب عناوين الوجهة فقط في وقت التشغيل. هذا الإجراء يعطل أدوات التحليل الثابت مثل IDA Pro، ويترك أدوات فك التجميع مع كتل يبدو أنها غير مترابطة.
لإخفاء وظيفته، يستخدم AuraStealer تقنية تجزئة واجهات برمجة التطبيقات (APIs) المدفوعة بالاستثناءات، حيث يتم إطلاق انتهاكات وصول بشكل متعمد، ليتم اعتراضها وتوزيع عناوين وظيفية مناسبة من جداول بحث محسوبة مسبقًا.
يستخدم تشفير النصوص تقنية XOR المعتمدة على المكدس، حيث يتم دمج النصوص المشفرة ومفاتيح XOR المقابلة في الذاكرة من قيم ثابتة قبل فك تشفيرها. يجرى البرنامج فحوصات لمنع التلاعب باستخدام وظيفة MapFileAndCheckSumw للتحقق من مجاميع فحص الملفات مقابل القيم المخزنة في رأس PE، وإنهاء التنفيذ في حالة اكتشاف تعديلات.
يستهدف البرنامج البيانات الحساسة من المتصفحات المستندة إلى Chromium و Gecko، ومحافظ العملات الرقمية، ورموز الجلسات النشطة من Discord و Telegram و Steam، ورموز المصادقة الثنائية، وقواعد بيانات مدير كلمات المرور بما في ذلك KeePass و Bitwarden، وتكوينات VPN، ومحتويات الحافظة، ولقطات الشاشة.