كشفت تقارير أمنية حديثة عن ظهور سلالة جديدة من برنامج التجسس ACRStealer، تتميز بقدرات مطورة تجعل اكتشافها صعبًا وتهديداتها لأنظمة المعلومات أكثر خطورة. تعمل هذه السلالة الجديدة على تعزيز استراتيجيات التسلل والتواصل، مما يشكل تطوراً ملحوظاً في أدوات القرصنة.
تم رصد النسخة الجديدة من ACRStealer لأول مرة في تقرير أمني أولي، حيث لوحظ أنها إعادة تسمية لبرنامج Amatera Stealer. وقد أضافت هذه السلالة الحالية تقنيات متقدمة لتجنب الاكتشاف على المستوى المنخفض (low-level syscall evasion)، واتصالاً مشفراً بقيادة وسيطرة (C2) عبر بروتوكول TLS، فضلاً عن القدرة على توصيل حمولات ثانوية. هذه الميزات مجتمعة تشير إلى تطور نشط في قدرات البرمجيات الخبيثة.
يُباع ACRStealer كخدمة برمجيات خبيثة (Malware-as-a-Service)، مما يعني أن الجهات الخبيثة تستأجره لاستخدامه في حملاتهم الخاصة. في العملية الأخيرة، تم توصيله كحمولة نهائية عبر HijackLoader، وهو برنامج تحميل متطور مرتبط بمنصة PiviGames لتوزيع البرامج. تبدأ الهجمة عندما يتم خداع المستخدمين على منصات الألعاب، مثل Steam أو Discord أو Reddit، لزيارة رابط خبيث، والذي يمر بسلسلة من عمليات إعادة التوجيه قبل إسقاط ملف مضغوط يحتوي على البرمجية الخبيثة، متنكرة في شكل مثبت شرعي لبرنامج.
قدرات ACRStealer المتطورة
لاحظ محللو G Data فروقاً رئيسية بين هذه السلالة المحدثة والإصدارات السابقة. فبينما كانت الإصدارات القديمة تعتمد علىresolver (DDR) لإخفاء عناوين خوادم القيادة والسيطرة، فإن هذه العينة تتصل بالبنية التحتية للقيادة باستخدام واجهات نواة ويندوز الأصلية وقنوات مشفرة. هذا الإجراء يزيل نقطة ضعف كانت تعتمد عليها العديد من الأدوات الأمنية للكشف.
تم تأكيد الإصابات النشطة في الولايات المتحدة ومنغوليا وألمانيا، حيث تتواصل جميع العينات مع عنوان القيادة والسيطرة 157.180.40.106. تنشر هذه السلالة نطاقاً واسعاً من سرقة البيانات، حيث تستهدف بيانات اعتماد المتصفح، وملفات تعريف الارتباط للجلسات، وبيانات تسجيل الدخول من متصفحات متعددة. وبشكل خاص، تستهدف السلالة الجديدة بيانات اعتماد حسابات الألعاب على Steam، وهو ما لم يُلاحظ في حملات ACRStealer السابقة.
يتم كتابة البيانات المسروقة في ملف محدد باسم d5e48e78-2951-4117-b806-e4f8e626f28c.txt قبل إرسالها إلى خادم القيادة والسيطرة. كما تقوم البرمجية الخبيثة بأخذ بصمة كاملة للنظام، حيث تلتقط معرف الجهاز الفريد (GUID)، واسم المستخدم، وبنية النظام، والموقع، ووقت الإصدار، ثم يتم ضغط كل ذلك في ملف ZIP في الذاكرة بحجم يصل إلى 40 ميجابايت قبل الإرسال النهائي.
من اللافت للانتباه أن نفس البنية التحتية للتوزيع شوهدت وهي تدفع LummaStealer في وقت سابق. وهذا التبديل بين البرمجيات الخبيثة يؤكد أن المجموعة الخبيثة تقوم بتغيير حمولاتها النهائية بمرونة، مما يجعل من الصعب تعطيل العملية من خلال الكشف المعتمد على حمولة محددة فقط.
تجنب الكشف والاتصال المشفّر
الجانب الأكثر أهمية من الناحية التقنية لهذه السلالة هو كيفية تجنبها للاكتشاف على مستوى واجهة برمجة التطبيقات (API). بدلاً من الاعتماد على واجهات Win32 القياسية التي تراقبها أدوات نقاط النهاية بشكل روتيني، تقوم السلالة بتحديد موقع ntdll.dll عبر Process Environment Block (PEB) وتحليل جدول عناوين التصدير (EAT) يدوياً لحل الوظائف التي تحتاجها، باستخدام خوارزمية djb2 المعدلة التي لوحظت أيضاً في HijackLoader.
يتم بعد ذلك تنفيذ استدعاءات النظام عبر بوابة الانتقال WoW64، مما يوجهها على مستوى النواة ويتجاوز خطافات وضع المستخدم التي تعتمد عليها معظم المنتجات الأمنية. وعلى الجانب الشبكي، تتجنب ACRStealer مكتبة Winsock القياسية تماماً. تقوم ببناء مسار نقطة نهاية AFD يدوياً وتفتحه عبر NtCreateFile، حيث تبني مقبس TCP IPv4 خام دون استيراد ws2_32.socket.
بمجرد الاتصال بخادم القيادة والسيطرة على المنفذ 443، تكمل البرمجية الخبيثة مصافحة TLS عبر إطار عمل SSPI من Microsoft، باستخدام الاسم المستضيف playtogga.com – وهو منصة كرة قدم حقيقية – لجعل حركة المرور الخاصة بها تبدو كنشاط HTTPS عادي وتمويهها عن أدوات فحص الشبكة.
بعد المصافحة، يتم إرسال البيانات إما بنص عادي أو مشفر باستخدام AES-256، اعتماداً على علم تكوين وقت التشغيل. وإذا أصبح خادم القيادة والسيطرة غير قابل للوصول، تنتظر البرمجية الخبيثة ثانيتين وتحاول إعادة الاتصال تلقائياً، مما يوفر لها قدراً أساسياً من المرونة. يُنصح فرق الأمن بمراقبة استخدام واجهات برمجة التطبيقات المنخفضة المستوى غير العادية، بما في ذلك NtCreateFile والاتصالات الشبكية المستندة إلى AFD، وحظر مؤشرات القيادة والسيطرة المعروفة مثل 157.180.40.106 و playtogga.com.
يجب على المستخدمين تجنب تنزيل الملفات من روابط غير موثوق بها يتم مشاركتها على منصات الألعاب أو وسائل التواصل الاجتماعي.