كشفت تقارير أمنية حديثة عن حملة تجسس سيبراني جديدة تستهدف جهات حساسة في قطاعات الصحة والحكومة والتعليم والضيافة، مستغلةً إشعارات انتهاك حقوق الملكية الفكرية المضللة لتوصيل برمجيات خبيثة تدعى “PureLog Stealer”.
بدأت هذه الحملة في مارس 2026، حيث تقوم بخداع الضحايا لحثهم على فتح ملفات تبدو وكأنها مستندات قانونية نظامية، ليجد الضحايا أنفسهم بعد ذلك أمام سلسلة من الإجراءات الخفية التي تنتهي بسرقة بياناتهم الحساسة.
حملة تجسس تستغل حقوق الملكية الفكرية لسرقة البيانات
تُعد برمجية “PureLog Stealer” من أخطر أدوات سرقة المعلومات، حيث تختص بجمع بيانات اعتماد المتصفح، وبيانات محافظ العملات المشفرة، وبيانات الإضافات، بالإضافة إلى معلومات عامة عن النظام. وتكمن خطورتها في كونها أداة منخفضة التكلفة وسهلة الاستخدام، مما يتيح حتى للمهاجمين الأقل خبرة استخدامها.
تعتمد الحملة على رسائل بريد إلكتروني تصيدية تحتوي على روابط تحميل خبيثة بدلاً من المرفقات المباشرة، مع تقديم محتوى مخصص حسب اللغة. فقد استهدفت النسخ الألمانية الشركات في ألمانيا، بينما استهدفت النسخ الإنجليزية دولاً مثل كندا ومناطق أخرى.
وقد حدد الباحثون في “ترند مايكرو” أن هذه الحملة لا تعتمد على ثغرات برمجية أو استغلالات، بل تعتمد كلياً على الهندسة الاجتماعية لإقناع المستخدمين بتشغيل ملفات مقلدة لشكاوى قانونية تتعلق بحقوق الملكية الفكرية.
تجعل هذه الطريقة الحملة خطيرة بشكل خاص، حيث أن إدارة التحديثات القياسية وحدها لا تكفي لوقفها. وقد كان استهداف ألمانيا وكندا الأكثر نشاطاً، مع ملاحظة وجود ضحايا في الولايات المتحدة وأستراليا أيضاً.
وتشمل القطاعات المستهدفة قطاعات الصحة، والحكومة، والضيافة، والتعليم، وهي قطاعات تتعامل غالباً مع الإشعارات القانونية ووثائق الامتثال، مما يجعل الطعم المتعلق بحقوق الملكية الفكرية يبدو مقنعاً للغاية. ويشير هذا الاستهداف الانتقائي والتسليم المحلي إلى عملية منظمة بدلاً من حملة عشوائية واسعة النطاق.
آلية العمل المعقدة للحملة
ما يميز هذا التهديد هو المستوى العالي من التعقيد التقني المتضمن في سلسلة التوصيل. تستخدم البرمجيات الخبيثة حمولات مشفرة، واسترجاع مفاتيح فك التشفير عن بعد، وتنفيذ كامل داخل الذاكرة، مما يترك أثراً ضئيلاً جداً على الأجهزة المخترقة. أدوات الكشف عن نقاط النهاية التي تعتمد على مراقبة إنشاء الملفات لن تجد شيئاً يذكر للإبلاغ عنه.
بمجرد أن يقوم الضحية بتشغيل الملف المضلل، يتم إطلاق معالج أوامر بصمت في الخلفية. ولإبقاء المستخدم منشغلاً، يتم فتح ملف PDF يبدو غير ضار على الشاشة.
في هذه الأثناء، تتصل البرمجية الخبيثة بالبنية التحتية التي يتحكم بها المهاجم لتنزيل أرشيف مشفر يبدو كملف PDF باسم “invoice.pdf”. بدلاً من تضمين كلمة مرور فك التشفير داخل البرمجية الخبيثة نفسها، يقوم المهاجمون باسترجاعها عن بعد من نقطة نهاية خادم منفصلة وقت التشغيل. يجعل هذا التصميم التحليل غير المتصل شبه مستحيل، ويسمح للمهاجم بالتحكم في كل عملية اختراق أو إلغائها عن بعد.
بعد ذلك، يستخدم ملف WinRAR معدل، يبدو كملف صورة PNG، تلك الكلمة السرية المسترجعة لاستخراج الحمولة الحقيقية. تتضمن المحتويات المستخرجة مترجم Python معاد تسميته باسم “svchost.exe” وسكربت Python مشفر للغاية باسم “instructions.pdf”.
يقوم السكربت أولاً بتجاوز واجهة فحص البرمجيات الخبيثة في Windows Defender عن طريق تعديل الذاكرة مباشرة، مما يمنع النظام من فحص ما سيحدث لاحقاً. ثم يقوم بإنشاء استمرارية للسجل تحت “HKCURunSystemSettings”، مما يضمن إعادة تشغيل البرمجية الخبيثة تلقائياً عند كل تسجيل دخول للمستخدم.
كما يقوم السكربت بأخذ لقطة شاشة للشاشة بأكملها، وجمع اسم الجهاز، واسم المستخدم، وأسماء منتجات مكافحة الفيروسات المثبتة، ثم يرسل كل ذلك إلى خادم القيادة والتحكم عبر طلب HTTPS POST. وأخيراً، يعمل ملفان مطابقان من نوع .NET على فك تشفير وتحميل “PureLog Stealer” مباشرة في الذاكرة، دون ترك أي ملفات على القرص لتتمكن أدوات مكافحة الفيروسات من العثور عليها.
يجب على المؤسسات تدريب الموظفين على التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة المتعلقة بانتهاكات حقوق النشر، وخاصة تلك التي تحتوي على روابط تحميل. يجب على فرق الأمان مراقبة مفاتيح “Run” في السجل بحثاً عن إدخالات غير عادية، ومراقبة عمليات Python أو WinRAR التي تعمل من مسارات دلائل غير قياسية، وحظر الاتصالات الصادرة إلى مجالات خبيثة معروفة. تُعد أدوات الكشف السلوكي وبيانات تتبع الشبكة ضرورية، حيث أن مكافحات الفيروسات التقليدية القائمة على التوقيع قد تفشل في الكشف عن هذه الحملة تماماً بسبب ما تتبعه من تصميم تنفذ فيه بدون ملفات.