كشفت تقارير أمنية حديثة عن ظهور تهديد سيبراني متطور باسم TAMECAT، وهو برنامج خبيث يعتمد على PowerShell ويستهدف سرقة بيانات اعتماد تسجيل الدخول المخزنة في متصفحات Microsoft Edge و Chrome. يأتي هذا التطور كمصدر قلق متزايد في بيئات الشركات التي تعتمد بشكل كبير على هذه المتصفحات.
يعمل TAMECAT كجزء من حملات تجسس تنفذها مجموعة APT42، وهي مجموعة تجسس إلكتروني ترعاها الدولة الإيرانية، والتي تستهدف بنشاط مسؤولين رفيعي المستوى في مجالات الدفاع والحكومة حول العالم. يوضح هذا التهديد القدرات المتقدمة في سرقة بيانات الاعتماد، وتسريب البيانات، والحفاظ على الوصول إلى الأنظمة المخترقة.
TAMECAT: التهديد الجديد لبيانات اعتماد المتصفح
تبدأ العملية العدائية لـ TAMECAT بمراحل متعددة، تبدأ بتكتيكات الهندسة الاجتماعية. يقوم المهاجمون بانتحال شخصية جهات اتصال موثوقة على WhatsApp، وإرسال روابط خبيثة للضحايا تستغل معالج بروتوكول URI search-ms.
بمجرد تفعيلها، يقوم البرنامج بتنزيل VBScript يقوم بفحص مكافحة الفيروسات على النظام المستهدف لتحديد مسار التنفيذ المناسب. تسمح هذه الاستطلاعات الأولية للبرنامج الخبيث بتكييف استراتيجية النشر الخاصة به بناءً على البيئة الأمنية التي يصادفها.
البنية والقيادة والسيطرة
حدد محللو أبحاث التهديدات من Pulsedive برنامج TAMECAT بأنه يستفيد من قنوات قيادة وسيطرة متعددة، بما في ذلك روبوتات Telegram، و Discord، و Firebase، وبنية Cloudflare Workers. تتيح الهندسة المعيارية للبرنامج تنزيل نصوص PowerShell إضافية وتنفيذ أوامر مختلفة عن بعد.
كل وحدة نمطية تخدم غرضًا محددًا، بدءًا من استخراج بيانات اعتماد المتصفح، إلى التقاط الشاشة، وزحف نظام الملفات، مما يجعله أداة مراقبة شاملة. يستخدم الجهات الفاعلة وراء TAMECAT خوادم WebDAV لتقديم ملفات LNK الخبيثة المتنكرة في شكل مستندات PDF.
آليات الاستمرار وتسريب البيانات
عند التنفيذ، تؤدي هذه الملفات إلى سلسلة من الأحداث التي تنشئ استمرارية عبر نصوص تسجيل الدخول ومفاتيح تشغيل السجل. يتواصل البرنامج الخبيث مع بنية القيادة والسيطرة الخاصة به باستخدام قنوات مشفرة، مستخدماً تشفير AES بمفاتيح محددة مسبقًا لحماية البيانات المسروقة أثناء النقل.
هذا النهج المتعدد الطبقات للإخفاء يجعل الكشف أكثر صعوبة لأدوات الأمان التقليدية. يطبق TAMECAT تقنيات متطورة لاستخراج بيانات اعتماد تسجيل الدخول من كل من Microsoft Edge و Chrome.
سرقة بيانات الاعتماد من المتصفحات
يستخدم البرنامج ميزة التصحيح عن بعد في Microsoft Edge للوصول إلى بيانات المتصفح أثناء تشغيل التطبيق. بالنسبة لـ Chrome، يقوم TAMECAT بإيقاف عملية المتصفح مؤقتًا لاكتساب وصول غير مقيد إلى قواعد بيانات بيانات الاعتماد المخزنة.
يضمن هذا النهج المزدوج القدرة على جمع معلومات المصادقة الحساسة بغض النظر عن المتصفح الذي يفضله الضحية. تعمل وحدة استخراج بيانات الاعتماد بالكامل في الذاكرة، تاركة الحد الأدنى من الآثار الجنائية على النظام المصاب.
التسرب والانتشار
بمجرد جمع بيانات الاعتماد، يستخدم TAMECAT وحدة التنزيل الخاصة به ومكون DLL متخصص يسمى Runs.dll لتقسيم البيانات المسروقة إلى شرائح أصغر قبل تسريبها. تساعد استراتيجية التقسيم هذه البرنامج على التهرب من أدوات مراقبة الشبكة التي قد تشير إلى عمليات نقل البيانات الكبيرة.
تستخدم عملية التسريب قنوات متعددة في وقت واحد، بما في ذلك بروتوكولات FTP و HTTPS، مما يوفر التكرار في حالة حظر أو مراقبة أحد مسارات الاتصال.