يكشف تحقيق جديد أن بيانات اعتماد الموظفين المخترقة يمكن أن تظهر في صورة برامج ضارة على شبكة الويب المظلم خلال 48 ساعة فقط، مما يمثل تهديدًا خطيرًا على أمن الشركات. يوضح هذا البحث كيف تتحول إصابات برامج سرقة المعلومات إلى تعرض للبيانات الحساسة بسرعة فائقة.
نشرت شعبة الاستخبارات في Whiteintel تقريرًا حديثًا، بتاريخ 24 مارس 2026، يفصل دورة حياة برامج سرقة المعلومات (infostealers) الكاملة. يتتبع التقرير مسار الإصابة وكيفية ظهور بيانات الاعتماد المسروقة على أسواق الويب المظلم المخصصة للبيع، قبل أن تمتلك فرق الأمن السيبراني القدرة على اكتشاف الاختراق.
تشير النتائج إلى أن بيانات اعتماد الشركات المسروقة يمكن أن تُعرض للبيع في غضون 48 ساعة من الإصابة الأولية، وهو ما يحدث قبل وقت طويل من علم فرق الأمن السيبراني بوجود مشكلة.
ويكشف البحث عن ثغرة خطيرة تتزايد بصمت داخل أطر الأمان المؤسسية. تعتمد آليات الكشف التقليدية عن الاختراقات على الهجمات التي تتم على مستوى الشبكة، وتوقيعات البرمجيات الخبيثة، وتنبيهات نقاط النهاية. ومع ذلك، فإن برامج سرقة المعلومات تعمل خارج هذه النطاقات المراقبة تمامًا.
تُصيب هذه البرمجيات أجهزة الكمبيوتر المحمولة الشخصية وأجهزة المقاولين غير المدارة، والتي تقع خارج نطاق رؤية الشركة. بحلول الوقت الذي تتلقى فيه مراكز عمليات الأمان أي تنبيه، تكون البيانات المسروقة قد جُمعت، وسُعرت، وعُرضت بالفعل على سوق الويب المظلم بانتظار مشترٍ.
حدد محللو Whiteintel هذه الفجوة كأحد الأسباب الرئيسية وراء تصدر الهجمات القائمة على بيانات الاعتماد لنقطة الدخول المفضلة لمشغلي برامج الفدية مؤخرًا. لقد أصبح المشهد العام لبرامج سرقة المعلومات أكثر تنظيمًا وتوجهًا نحو الربح المادي من أي وقت مضى.
تقود عدة سلالات نشطة حاليًا الجزء الأكبر من الإصابات العالمية، مع تصدر Lumma Stealer لعام 2024 كسلالة أكثر انتشارًا، متجاوزة RedLine Stealer. نمت إصابات StealC بنسبة 376% بين الربع الأول والثالث من عام 2024، حيث ظهرت أكثر من 80 ألف سجل مسروق على Russian Market خلال تلك الفترة.
وفي المقابل، استمر RedLine Stealer، رغم استهدافه من قبل جهات إنفاذ القانون عبر عملية Magnus في أكتوبر 2024، في العمل كخدمة برامج فدية (Malware-as-a-Service) بأسعار تتراوح بين 100 و 200 دولار شهريًا. تُوزع هذه السلالات عبر مجموعة متنوعة من نواقل الإصابة المصممة لاستغلال السلوك الطبيعي للمستخدمين.
سرقة البيانات: نافذة زمنية ضيقة
يظل البرنامج المقرصن هو نقطة الدخول الأكثر شيوعًا، حيث تُعاد حزم الأدوات شائعة الاستخدام مثل Adobe Creative Suite و Microsoft Office لتضمين حمولات خبيثة مخفية. تدفع حملات الإعلانات الضارة (Malvertising) باتجاه تنزيلات مصابة عبر شبكات الإعلانات الشرعية، بينما تُستخدم دروس YouTube لخداع المستخدمين لتثبيت البرمجيات الخبيثة أثناء متابعة أدلة للحصول على أدوات مجانية.
بالإضافة إلى ذلك، تُستخدم اختراقات سلسلة التوريد لإخفاء رمز سرقة المعلومات داخل تحديثات البرامج والمكتبات الخارجية التي يثق بها المستخدمون عادة دون تفكير. وتكمن خطورة هذا التهديد في السرعة التي تتحرك بها كل مرحلة، وقلة الوقت المتاح للمدافعين للاستجابة.
يرسم البحث دورة الحياة عبر خمس مراحل واضحة: الإصابة (0-2 ساعة)، حصاد البيانات (2-12 ساعة)، تجميع السجلات (12-24 ساعة)، إدراجها في الأسواق (24-48 ساعة)، والاستغلال النشط بعد ذلك. كل مرحلة قصيرة ومصممة للبقاء مخفية، مما يمنح فرق الأمن شبه نافذة انعدام للتدخل قبل حدوث الضرر الجسيم.
عملية جمع بيانات الاعتماد
بمجرد تشغيل برنامج سرقة المعلومات على جهاز، يستهدف فورًا قواعد بيانات بيانات الاعتماد المخزنة في متصفحات الويب، وملفات تعريف الارتباط للجلسات النشطة، وتكوينات VPN، ومفاتيح SSH، ورموز خدمات السحابة، وبيانات محافظ العملات المشفرة. لا تستغرق عملية الحصاد سوى دقائق، وتم تصميم برامج سرقة المعلومات الحديثة لحذف نفسها تلقائيًا بعد الانتهاء لتجنب إطلاق أدوات مكافحة الفيروسات أو اكتشاف نقاط النهاية.
ثم تُضغط البيانات المسروقة فيما يُعرف باسم “السجل” (log) في الصناعة السفلية – وهو حزمة منظمة لبيانات الاعتماد، ورموز الجلسات، وبيانات التعريف الخاصة بالنظام – قبل تحميلها إلى أسواق الويب المظلم مثل Russian Market و 2easy، التي احتوت على ملايين السجلات النشطة اعتبارًا من أوائل عام 2024.
يُنصح فرق الأمن بتطبيق مراقبة مستمرة لبيانات الاعتماد على الويب المظلم للكشف عن التعرض قبل أن يتمكن المهاجمون من التصرف بناءً عليه. يجب على المؤسسات فرض إلغاء صلاحية الجلسات فورًا وتدوير بيانات الاعتماد بشكل إلزامي فور تحديد أي اختراق. كما أن تقييد الوصول من الأجهزة الشخصية غير المدارة ونشر مفاتيح المصادقة المقيدة بالأجهزة بدلاً من المصادقة متعددة العوامل (MFA) المستندة إلى البرامج يمكن أن يقلل بشكل كبير من خطر استخدام بيانات الاعتماد المسروقة لاختراق البنية التحتية للشركة.