يشهد عالم الألعاب الإلكترونية تحديات أمنية جديدة مع انتشار نسخة محدثة من برمجيات التجسس المعروفة باسم “Vidar 2.0″، والتي تستهدف اللاعبين عبر منصات شهيرة مثل GitHub و Reddit. تنتشر هذه البرمجية الخبيثة عبر مستودعات وهمية لبرامج الغش المزعومة للألعاب، محاولة خداع المستخدمين لتنزيل أدوات سرقة قوية للمعلومات الشخصية.
لا يعد تهديد البرمجيات الخبيثة المدمجة في برامج الألعاب بالأمر الجديد، حيث لجأ مجرمو الإنترنت منذ فترة طويلة إلى استخدام مولدات المفاتيح المزيفة والأدوات المقرصنة لاستهداف اللاعبين، وتتزايد هذه الممارسات بشكل ملحوظ.
Vidar 2.0: تهديد متنامٍ في عالم الألعاب
تستهدف الحملات النشطة التي يتم رصدها حاليًا إصدار “Vidar 2.0” في انتشار واسع، ويأتي هذا التزايد بالتزامن مع الإجراءات القانونية التي أدت إلى تعطيل اثنتين من أبرز أدوات سرقة المعلومات، وهما Lummastealer و Rhadamanthys.
مع توقف هذه العمليات، احتاج مجرمو الإنترنت إلى بديل، وسرعان ما ملأ “Vidar” هذا الفراغ. يعمل Vidar منذ عام 2018 كمشروع مشتق من Arkei stealer، وقد شهد تطورات مستمرة لأكثر من سبع سنوات، وبفضل تكلفته المنخفضة وميزاته الجديدة القوية، أصبح خيارًا واضحًا للمهاجمين.
تستطيع Vidar 2.0 سرقة بيانات اعتماد المتصفح، وملفات تعريف الارتباط، وبيانات الملء التلقائي، ورموز Azure، ومحافظ العملات المشفرة، وبيانات اعتماد FTP و SSH، وبيانات جلسات Discord و Telegram، بالإضافة إلى الملفات المحلية.
تعمل البرمجية بسرعة كافية بحيث نادرًا ما يدرك الضحايا حدوث شيء غير طبيعي قبل ظهور بياناتهم في الأسواق السوداء. تعتبر حسابات الألعاب المخترقة أهدافًا ذات قيمة خاصة، حيث يمكن بيع العناصر والعملات داخل اللعبة عبر الأسواق الرمادية بأقل قدر من المخاطر للمهاجم.
استغلال المنصات الموثوقة
تُظهر الحملة أيضًا مدى تطور الجهات التهديدية في استغلال المنصات الموثوقة. فقد أصبحوا الآن يستضيفون صفحات هبوط على GitHub، مما يمنح عملياتهم مظهرًا موثوقًا.
توجه المنشورات على Reddit في مجتمعات الألعاب النشطة المستخدمين نحو مستودعات الغش الوهمية هذه. من خلال الجمع بين المنصات المعروفة والهندسة الاجتماعية الموجهة، قام المهاجمون ببناء مسار إصابة لن يدرك معظم المستخدمين بسهولة أنه خبيث.
سلسلة الإصابة: كيف تنتشر Vidar 2.0
عندما ينقر المستخدم على رابط في منشور على Reddit أو يزور صفحة وهمية على GitHub، فإنه يصل إلى موقع يحتوي على تعليمات التثبيت.
تحاكي هذه التعليمات عملية إعداد برنامج شرعي، وتطالب الضحايا بتعطيل برامج مكافحة الفيروسات، واستخراج أرشيف محمي بكلمة مرور، وتشغيل الملف بصلاحيات المسؤول. نظرًا لأن برامج الغش غالبًا ما تتطلب وصولاً عميقًا إلى النظام، يعامل العديد من الضحايا هذه التعليمات على أنها طبيعية.
الملف الذي تم تنزيله هو برنامج نصي PowerShell تم تجميعه في ملف ثنائي .NET باستخدام PS2EXE، كما أكدت مخرجات Detect It Easy (DIE). بمجرد تشغيله، يقوم برنامج التحميل بإضافة استثناء إلى Windows Defender مجلد يتحكم فيه المهاجم، مما يؤدي إلى تعطيل فحص الأمان لجميع الملفات الموجودة بداخله. بعد ذلك، يتصل بعنوان Pastebin محدد مسبقًا لاسترداد عنوان حمولة المرحلة التالية من GitHub.
يقوم برنامج التحميل بإنشاء مجلد مخفي يحمل اسمًا عشوائيًا داخل دليل %AppData% ويضع الحمولة النهائية فيه باسم “background.exe”. قبل تشغيله، يتحقق برنامج التحميل من رأس MZ للتأكد من أنه ملف تنفيذي شرعي لنظام Windows.
يتم بعد ذلك إعداد الاستمرارية من خلال مهمة مجدولة باسم “SystemBackgroundUpdate”، والتي تم تكوينها للتشغيل تلقائيًا عند كل تسجيل دخول للمستخدم بصلاحيات مرتفعة.
الحمولة النهائية هي ملف Vidar 2.0 ثنائي تم تعبئته باستخدام Themida. بدلاً من استخدام عنوان قيادة وتحكم (C2) ثابت، يتصل بروبوتات Telegram وملفات تعريف Steam التي تعمل كمحددات لعنوان “dead drop”. يخفي هذا البنية التحتية الحقيقية للقيادة والتحكم خلف خدمات موثوقة، مما يجعل من الصعب للغاية على فرق الأمان تتبع أو حظر العملية.
يجب على المستخدمين والمؤسسات نشر أدوات حماية نقاط النهاية أو أدوات الكشف والاستجابة لنقاط النهاية (EDR) القادرة على اكتشاف سلاسل العمليات غير العادية، والوصول إلى بيانات الاعتماد، وتسريب البيانات.
يجب تحديث جميع أنظمة التشغيل والتطبيقات باستمرار لمعالجة الثغرات الأمنية المعروفة.
يجب أن تمنع سياسات التنفيذ البرامج من التشغيل في مسارات غير قياسية مثل %AppData% أو %ProgramData%، ويجب تذكير المستخدمين بتنزيل البرامج فقط من المواقع الرسمية للموردين أو المستودعات المعتمدة.