ظهرت حملة قرصنة متطورة تستهدف سرقة بيانات الاعتماد، وتعتمد على أداة تعرف باسم “VIP Keylogger”، لتشكل تهديداً خطيراً للمؤسسات والأفراد على حد سواء. تستخدم هذه الحملة تقنيات مبتكرة لتجنب الكشف، مما يزيد من فعاليتها.
بخلاف البرمجيات الخبيثة التقليدية التي تترك ملفات على القرص الصلب للضحية، تعمل هذه الأداة كـ “برنامج تسجيل ضربات المفاتيح” (Keylogger) بالكامل في الذاكرة، مما يجعل اكتشافها بواسطة أدوات الأمان التقليدية أمراً بالغ الصعوبة. تم اكتشاف الحملة لأول مرة عبر نشاط مشبوه في رسائل البريد الإلكتروني على منصة VirusTotal، حيث دفعت رسالة خادعة المستلمين إلى فتح ما بدا وكأنه طلب شراء قياسي.
كان هذا المرفق في الواقع ملف RAR يحتوي على ملف تنفيذي خبيث باسم ÜRÜN ÇİZİMİ VE TEKNİK ÖZELLİKLERİ_xlsx.exe، والذي قام بصمت باستخراج وتشغيل VIP Keylogger مباشرة في الذاكرة دون ترك أي أثر على القرص.
حملة VIP Keylogger: تهديد متزايد لبيانات الاعتماد
ما يجعل هذه الحملة مقلقة بشكل خاص هو نطاقها الواسع. فقد تم العثور على عدة حالات تستهدف ضحايا في بلدان مختلفة، حيث يقوم المهاجمون بتعديل أسلوب التغليف فقط وإجراء تغييرات طفيفة على مسار التنفيذ. ومع ذلك، ظل الحمولة الأساسية ثابتة.
تشير هذه المرونة إلى عملية منظمة بشكل جيد وقادرة على التوسع بسرعة، مع الحفاظ على نفس الهدف الأساسي: سرقة بيانات الاعتماد بكميات كبيرة. هذا التركيز على سرقة بيانات الاعتماد يمثل خطراً حقيقياً على الأمان الرقمي.
تحليل متعمق للحملة
حدد محللو K7 Security Labs هذه الحملة أثناء التحقيق في أنشطة على VirusTotal، وأشاروا إلى أن الحمولة النهائية تبدو إما في مرحلة تطوير مبكرة أو كمنتج قابل للتكوين ضمن نموذج “البرمجيات كخدمة خبيثة” (Malware-as-a-Service). تم العثور على قدرات رئيسية مثل “مكافحة البيئات الافتراضية” (AntiVM)، و”قاتل العمليات” (ProcessKiller)، و”المُنزِّل” (DownloaderFile) معطلة أو مضبوطة على “NULL” أثناء التحليل، مما يوحي بأن العملاء يتلقون فقط الميزات التي يدفعون مقابلها.
هذا التصميم المعياري يجعل الأداة متاحة لمجرمي الإنترنت ذوي المهارات التقنية المحدودة، مما يوسع دائرة الخطر. ومن الممكن أن تجعل هذه الميزات المتخصصة عملية سرقة بيانات الاعتماد أكثر فعالية.
قدرات VIP Keylogger وطرق انتشاره
بمجرد تفعيله، يقوم VIP Keylogger بجمع البيانات الحساسة من الجهاز المصاب. يستهدف عشرات المتصفحات المبنية على Chromium، بما في ذلك Chrome، وBrave، وEdge، وOpera، بالإضافة إلى المتصفحات المبنية على Firefox مثل Firefox، وThunderbird، وWaterfox، مستخلصاً ملفات تعريف الارتباط (cookies)، وبيانات تسجيل الدخول، ومعلومات بطاقات الائتمان، وسجلات التصفح.
كما تتأثر برامج البريد الإلكتروني مثل Outlook، وFoxmail، وThunderBird، وPostbox، حيث يتم أخذ كلمات مرور POP3، وIMAP، وSMTP، وHTTP. وتفقد منصات مثل Discord، وFileZilla، وPidgin بيانات الاعتماد الرمزية (tokens) وتفاصيل الخادم. تغادر جميع البيانات المسروقة عبر إحدى القنوات الخمس: FTP، SMTP، Telegram، HTTP POST، أو Discord. استخدمت العينة التي تم تحليلها SMTP لتمرير المعلومات عبر خادم مخصص على المنفذ 587.
كيف ينفذ VIP Keylogger دون ترك أثر؟
يتبع العدوى مسارين منفصلين، كلاهما مصمم للتسلل عبر أدوات الأمان دون اكتشاف. في الطريقة الأولى، يكون الملف الخبيث عبارة عن ملف تنفيذي .NET PE يخفي ملفين DLL داخل قسم الموارد الخاص به باستخدام تقنية “إخفاء البيانات” (Steganography) – وهي تقنية تخفي الشفرة داخل ملفات تبدو غير ضارة.
يقوم ملف DLL الأول، Turboboost.dll، باستخراج الملف الثاني، Vertical bars.dll، الذي يحتوي على حمولة VIP Keylogger النهائية مخفية داخل صورة PNG، وذلك أيضاً عبر إخفاء البيانات. يتم استرجاع هذه الحمولة من الصورة ونشرها من خلال تقنية “تفريغ العمليات” (Process Hollowing)، حيث يقوم العملية المضيفة بالتشغيل في حالة معلقة ويتم استبدال ذاكرتها بالكود الخبيث قبل بدء التنفيذ.
في الطريقة الثانية، يقوم ملف PE قياسي بتخزين بايتات مشفرة بـ AES داخل قسم .data الخاص به. بعد فك تشفيرها في الذاكرة، يقوم البرنامج الضار بتعديل واجهة برمجة تطبيقات فحص النصوص البرمجية (AMSI)، وهي واجهة في Windows تفحص البرامج النصية المشبوهة، ونظام تسجيل الأحداث (ETW)، وهو نظام تسجيل تعتمد عليه منتجات الأمان. مع تعطيل كلا الدفاعين، يتم تحميل VIP Keylogger بشكل نظيف عبر بيئة وقت التشغيل الشائعة (Common Language Runtime).
يتشارك كلا المسارين في هدف واحد: تنفيذ الحمولة دون المساس بالقرص الصلب وترك أقل قدر ممكن من الأثر. لذلك، يجب على المؤسسات تجنب فتح مرفقات البريد الإلكتروني من مرسلين غير معروفين، خاصة الملفات المضغوطة مثل أرشيفات RAR أو ZIP.
ينصح بشدة بأن تقوم فرق الأمان بنشر حلول نقطة النهاية القادرة على تحديد التهديدات في الذاكرة وسلوك تفريغ العمليات. كما يُنصح بشدة بالحفاظ على تحديث المتصفحات والتطبيقات لتقليل سطح الهجوم الذي يستغله VIP Keylogger بنشاط.