برزت أداة خبيثة جديدة خطيرة تُعرف باسم SnappyClient كتهديد متزايد لمستخدمي نظام التشغيل ويندوز، حيث تجمع بين الوصول عن بعد، سرقة البيانات، وتقنيات مراوغة متقدمة في حزمة C++ واحدة.
ظهر هذا البرنامج، الذي شوهد لأول مرة في ديسمبر 2025، كإطار عمل للتحكم والسيطرة (C2)، وهو قادر على تسجيل ضغطات المفاتيح، التقاط لقطات شاشة، فتح محطة طرفية عن بعد، وسحب بيانات حساسة من المتصفحات والتطبيقات، كل ذلك مع تجنب اكتشافه من قبل أدوات الأمان.
تبدأ سلسلة الهجوم بموقع ويب وهمي مقنع للغاية ينتحل صفة شركة الاتصالات المعروفة “تليفوينكا”. يتم تقديم تنزيل HijackLoader تلقائيًا للمستخدمين الناطقين بالألمانية الذين يزورون الصفحة. وبمجرد تشغيل الضحية للملف، يقوم HijackLoader بفك تشفير SnappyClient وتحميله مباشرة في الذاكرة.
تم رصد طريقة تسليم ثانية في أوائل فبراير 2026، حيث استخدم المهاجمون خدعة ClickFix تم مشاركتها عبر X (تويتر سابقًا)، مرة أخرى لتنزيل SnappyClient عبر GhostPulse وHijackLoader.
حدد باحثو Zscaler ThreatLabz أداة SnappyClient في ديسمبر 2025 أثناء تتبع نشاط HijackLoader عبر بياناتهم. وكشفت تحليلاتهم أن SnappyClient يتواصل مع خادم التحكم والسيطرة الخاص به عبر TCP باستخدام بروتوكول مخصص بالكامل.
يتم ضغط كل رسالة باستخدام خوارزمية Snappy وتشفيرها باستخدام ChaCha20-Poly1305، مما يجعل حركة مرور الشبكة أصعب بكثير على المدافعين لتفحصها. تستهدف SnappyClient مجموعة واسعة من التطبيقات لسرقة البيانات. فهي تستهدف عشرة متصفحات بما في ذلك Chrome، Firefox، Edge، Opera، و Brave، وتحصد كلمات المرور المحفوظة، وملفات تعريف الارتباط للجلسات، وملفات تعريف المتصفح الكاملة.
تبحث الأداة الخبيثة أيضًا عن إضافات متعلقة بالعملات المشفرة مثل MetaMask، Phantom، TronLink، Coinbase Wallet، وTrustWallet. كما تستهدف تطبيقات العملات المشفرة المستقلة بما في ذلك Exodus، Atomic، Electrum، وLedger Live. وأكد تحليل الشبكة أن سرقة العملات المشفرة هي الهدف المالي الأساسي الذي يحرك هذه الحملات.
بالإضافة إلى سرقة البيانات، يدعم SnappyClient وكلاء عكسيين لـ FTP، VNC، SOCKS5، وRLOGIN، مما يمنح المهاجمين مسارات متعددة داخل شبكة الضحية.
يراقب البرنامج محتوى الحافظة في الوقت الفعلي، ويستبدل بصمت عناوين محافظ Ethereum لإعادة توجيه معاملات العملات المشفرة.
يتم دفع ملفي تهيئة ديناميكيين – EventsDB وSoftwareDB – من قبل خادم C2 لتوجيه الأداة حول التطبيقات التي يجب استهدافها والإجراءات التي يجب اتخاذها، مما يجعلها مرنة دون الحاجة إلى إعادة نشر.
داخل تقنيات مراوغة SnappyClient واستمراريته
ما يجعل SnappyClient صعب الإيقاف هو الكفاءة التي تقوض بها ضوابط الأمان المصممة لإمساكه. منذ لحظة بدئه، تقوم الأداة بربط وظيفة WindowsLoadLibraryExW وتراقب أي محاولة لتحميلamsi.dll.
عند اكتشافه، يقوم بتصحيحAmsiScanBuffer وAmsiScanString لإرجاع نتيجة نظيفة دائمًا، مما يعطل واجهة فحص البرامج الضارة (AMSI) في Windows بصمت دون إطلاق أي تنبيهات.
لتجاوز خطافات واجهة برمجة التطبيقات لوضع المستخدم التي تضعها منتجات أمان نقطة النهاية، يستخدم SnappyClient تقنية Heaven’s Gate، حيث يقوم بالتبديل بين وضعي التنفيذ 32 بت و 64 بت لإصدار استدعاءات نظام مباشرة تتجاوز طبقات واجهة برمجة التطبيقات المراقبة.
كما يقوم برسم نسخة نظيفة منntdll.dll في الذاكرة، ويصل إلى وظائف Windows الأساسية دون تدخل. تعكس هذه الأنماط عن كثب تصميم HijackLoader، مما يشير إلى وجود صلة محتملة بين مطوري كلتا الأداتين.
من أجل الاستمرارية، يقوم SnappyClient أولاً بتسجيل مهمة مجدولة تعمل عند كل تسجيل دخول للمستخدم. إذا فشل ذلك، فإنه يكتب إدخال تشغيل تلقائي تحتSoftwareMicrosoftWindowsCurrentVersionRun.
تقوم الأداة بنسخ نفسها إلى مسار محدد وتشغل منه، مما ينهي العملية الأصلية. جميع الملفات الحساسة المخزنة على القرص – بما في ذلك ملف مسجل المفاتيح، وEventsDB، وSoftwareDB – يتم تشفيرها باستخدام ChaCha20، مما يجعل الاسترداد الجنائي أصعب بكثير.
يجب على المستخدمين والمؤسسات تجنب تنزيل الملفات التنفيذية من مواقع الويب غير الموثوق بها، حتى تلك التي تبدو وكأنها تمثل علامات تجارية معروفة.
يجب على فرق الأمان مراقبة إنشاء المهام المجدولة غير العادية وتغييرات مفاتيح تشغيل التسجيل المشبوهة، كعلامات تحذير مبكرة لروتين استمرارية SnappyClient.
يجب أن تغطي قواعد الكشف عن نقاط النهاية أنماط تنفيذ Heaven’s Gate وسلوك الترحيل المعامل. يؤدي تحديث المتصفحات بانتظام إلى تقليل مخاطر تجاوز تشفير التطبيقات. يوصى بشدة بتدقيق ملحقات المتصفح المثبتة بانتظام – خاصة تلك المرتبطة بمحافظ العملات المشفرة.