كشفت تقارير أمنية عن ظهور برمجية خبيثة جديدة من نوع “CharlieKirk Grabber Stealer” تستهدف أنظمة ويندوز، بهدف سرقة بيانات الاعتماد المخزنة وملفات تعريف الارتباط للجلسات. تأتي هذه البرمجية كتهديد سريع يهدف إلى جمع المعلومات الحساسة بأقصى سرعة.
تصل هذه البرمجية الخبيثة كملف تنفيذي لنظام ويندوز، تم تجميعها باستخدام أداة PyInstaller، مما يدمج شيفرة البايثون بالكامل في ملف واحد لا يحتاج لتثبيت بايثون على الجهاز المستهدف.
يستلهم البرنامج اسمه وصوره السياسية من منظمة Turning Point USA لاستغلال تقنيات الهندسة الاجتماعية. عادة ما يتم توزيع البرمجية عبر رسائل التصيد الاحتيالي، أو حزم البرامج المقرصنة، أو تنزيلات أدوات الغش في الألعاب، أو عبر حملات تستخدم وسائل التواصل الاجتماعي.
قام باحثون في شركة Cyfirma بتحديد هذه البرمجية، مشيرين إلى أنها تستخدم بنية تشبه “الباني” (builder-style) مما يجعلها وحدوية. هذا يعني أن مشغليها يمكنهم تعديل إعدادات القيادة والتحكم (C2) بسهولة، مثل استخدام Discord webhook أو Telegram bot، وتشغيل أو إيقاف وحدات جمع بيانات محددة قبل نشر الملف التنفيذي النهائي.
كيف تعمل CharlieKirk Grabber Stealer على سرقة البيانات
بمجرد تنشيطها على النظام، تقوم CharlieKirk Grabber بجمع معلومات عن الجهاز المضيف، بما في ذلك اسم المستخدم، واسم الجهاز، ومعرّف الجهاز الفريد (UUID)، وعنوان IP الخارجي. كما تقوم بإنهاء عمليات المتصفح قيد التشغيل بالقوة باستخدام أداة TASKKILL الخاصة بويندوز، مما يسهل الوصول إلى قواعد بيانات كلمات المرور المحفوظة.
يتم تجميع البيانات المسروقة، والتي تشمل كلمات المرور، وملفات تعريف الارتباط، وبيانات التعبئة التلقائية، وسجل التصفح، وبيانات اعتماد شبكات الواي فاي، في أرشيف ZIP ثم رفعها إلى منصة GoFile لاستضافة الملفات.
بعد ذلك، يتم إرسال رابط التنزيل بشكل فوري إلى المهاجم عبر HTTPS، سواء كان ذلك عبر Discord webhook أو Telegram bot، مع الحفاظ على تشفير جميع الاتصالات.
تقنيات التخفي لـ CharlieKirk Grabber Stealer
ما يجعل اكتشاف برنامج السرقة هذا صعبًا بشكل خاص هو اعتماده الكبير على أدوات ويندوز الشرعية الموجودة بالفعل في كل تثبيت. بدلاً من استخدام ملفات خارجية مشبوهة، تستخدم البرمجية أدوات مثل NETSH.EXE لاسترداد كلمات مرور الواي فاي المحفوظة، و SYSTEMINFO.EXE لجمع تفاصيل الأجهزة ونظام التشغيل، و PowerShell لإضافتها صامتًا إلى قائمة الاستثناءات في Microsoft Defender.
تتيح هذه الطريقة، المعروفة باسم “العيش من الأرض” (living off the land)، للأعمال الخبيثة أن تمتزج مع سلوكيات الإدارة العادية، مما يساعدها على تجنب الكشف القائم على التواقيع.
ولهذا السبب، يُنصح المنظمات بتطبيق المصادقة متعددة العوامل (MFA) على جميع الخدمات الحيوية، وتقييد تخزين كلمات المرور عبر المتصفحات باستخدام سياسات المؤسسات. كما يجب على فرق الأمن مراقبة أحداث إنهاء عمليات المتصفح غير العادية، وحركة مرور HTTPS الصادرة إلى Discord، Telegram، أو GoFile، وأي نشاط PowerShell في المجلدات القابلة للكتابة من قبل المستخدم.
ينبغي حظر التنفيذ من المسارات المؤقتة مثل %TEMP% و %APPDATA% باستخدام أدوات مثل AppLocker أو Windows Defender Application Control (WDAC) لزيادة الأمان.