يواجه قطاع الأمن السيبراني تهديدًا متناميًا مع استمرار برامج سرقة المعلومات (infostealers) في الهيمنة على مشهد الوصول الأولي في عام 2026. ومن بين أحدث التهديدات التي تستقطب اهتمامًا واسعًا، يبرز DarkCloud، وهو برنامج خبيث تجاري لجمع بيانات الاعتماد، يثبت أن حتى الأدوات منخفضة التكلفة يمكن أن تحدث نتائج مدمرة ضد بيئات الشركات.
تم رصد DarkCloud لأول مرة في عام 2022، ويُعزى تطويره إلى جهة معروفة باسم “Darkcloud Coder”، والتي كانت تعمل سابقًا تحت اسم مستعار “BluCoder” على منصة تيليجرام. تُباع هذه البرمجيات الخبيثة علنًا عبر تيليجرام ومتجر إلكتروني (clearnet)، مع اشتراكات تبدأ من 30 دولارًا أمريكيًا فقط، وهو سعر يجعلها في متناول أي جهة تتطلع إلى تنفيذ هجمات.
DarkCloud: تهديد قابل للتوسع لسرقة بيانات الاعتماد
على الرغم من تسويق DarkCloud كـ “برنامج مراقبة”، إلا أن غرضه الفعلي أكثر عدوانية: فهو يستهدف جمع بيانات الاعتماد بكميات كبيرة واستخلاص البيانات المنظمة عبر المتصفحات، وعملاء البريد الإلكتروني، والبيانات المالية، وشبكات الاتصال. وقد حدد محللو Flashpoint أن DarkCloud يمثل تهديدًا قويًا للمبتدئين، حيث يمكنه منح المهاجمين مفاتيح شبكة الشركة بأكملها من خلال بيانات الاعتماد المسروقة.
تمت كتابة هذا البرنامج الخبيث بلغة Visual Basic 6.0 (VB6) وتم تجميعه كتطبيق C/C++ أصلي، وهو اختيار هندسي متعمد يمنحه ميزة غير متوقعة ضد أدوات الكشف الحديثة. بالاعتماد على مكونات وقت التشغيل القديمة مثل MSVBVM60.DLL، يعمل DarkCloud خارج نطاق العديد من نماذج الأمان المعاصرة مع الاحتفاظ بالوظائف الكاملة لسرقة بيانات الاعتماد.
نطاق استهداف DarkCloud الواسع
ما يجعل DarkCloud خطيرًا بشكل خاص على الشركات هو نطاق الاستهداف الهائل. يقوم بجمع بيانات اعتماد تسجيل الدخول، وملفات تعريف الارتباط، وبيانات بطاقات الائتمان من المتصفحات الرئيسية بما في ذلك Google Chrome، Microsoft Edge، Mozilla Firefox، Brave، Opera، Yandex، و Vivaldi، بالإضافة إلى العديد من المتصفحات الأخرى المستندة إلى Chromium و Firefox. كما يستهدف عملاء البريد الإلكتروني مثل Outlook، Thunderbird، FoxMail، و eM Client، وأدوات نقل الملفات مثل FileZilla و WinSCP، وتطبيقات VPN مثل NordVPN. ويتم أيضًا كشط قوائم جهات اتصال البريد الإلكتروني، على الأرجح لتغذية حملات تصيد احتيالي مستقبلية ضد الضحايا وشبكاتهم.
تُخزن البيانات المسروقة محليًا في مجلدين تحت المسار %APPDATA%MicrosoftWindowsTemplates، أحدهما لملفات قاعدة البيانات الأولية والآخر للسجلات النصية غير المشفرة والمعالجة، قبل استخلاصها عبر SMTP، FTP، Telegram، أو HTTP. تتيح هذه المرونة في طرق الاستخلاص للمشغلين تخصيص عمليات النشر لتتناسب مع تفضيلات البنية التحتية واحتياجات أمن العمليات، مما يجعل DarkCloud قابلاً للتكيف عبر مجموعة واسعة من سيناريوهات الهجوم.
كيف يتجنب DarkCloud الكشف من خلال التشفير
أحد أبرز الجوانب التقنية في DarkCloud هو نظام التشفير المتعدد الطبقات الذي يستخدمه لإحباط التحليل الثابت والديناميكي. بدلاً من الاعتماد على مكتبات التشفير الحديثة، يستغل DarkCloud خللًا في لغة Visual Basic القديمة نفسها لإخفاء سلاسله الداخلية وسلوكه عن المحللين وأدوات الأمان.
يتم تشفير معظم السلاسل الداخلية لـ DarkCloud وفك تشفيرها في وقت التشغيل باستخدام مولد الأرقام العشوائية (PRNG) المدمج في Visual Basic (`Rnd()`)، جنبًا إلى جنب مع خوارزمية مخصصة لتوليد البذور. تتبع عملية فك التشفير تسلسلاً دقيقًا: يتم أولاً تشفير السلاسل المشفرة، ثم يتم تشفير المفاتيح بتنسيق Base64، وتُحسب خوارزمية مخصصة قيمة البذرة، ثم تتم إعادة ضبط PRNG الخاص بلغة VB إلى حالة معروفة باستخدام هذه البذرة، وبعد ذلك تقوم استدعاءات `Rnd()` المتكررة بإعادة بناء السلاسل النصية الأصلية في وقت التشغيل.
نظرًا لأن PRNG يتم إعادة تعيينه إلى قيمة ثابتة ومعروفة قبل كل دورة فك تشفير، يضمن البرنامج الخبيث ناتجًا متسقًا دون الحاجة إلى مفاتيح خارجية أو اتصالات شبكة، والتي قد تثير إنذارات في البيئات المراقبة.
لاحظ محللو Flashpoint أن هذا النهج لا يعتمد على تقنيات تشفير مبتكرة. بدلاً من ذلك، فهو يستغل السلوك المتوقع لوقت تشغيل لغة قديمة لإبطاء جهود الهندسة العكسية. في الاختبارات المضبوطة، أنتجت Flashpoint حمولات مكافئة في كل من C/C++ و VB6. variant VB6 أنتجت اكتشافات أقل بكثير في فحوصات VirusTotal، مما يؤكد أن اختيار اللغة وحده يوفر ميزة كشف ذات مغزى للمهاجم.
حدد باحثو Flashpoint أيضًا تشابهات ملحوظة على مستوى الكود بين DarkCloud ومشروع موثق سابقًا يعرف باسم “A310LoggerStealer”، والذي يُشار إليه أيضًا باسم BluStealer. تظهر التعبيرات العادية لتحليل بطاقات الائتمان في كلتا الأداتين بنفس الترتيب والتنسيق. بالاقتران مع الاسم المستعار السابق للمطور “BluCoder”، تقيم Flashpoint أن A310LoggerStealer يمثل على الأرجح نسخة أقدم مما أصبح في النهاية DarkCloud، مما يعكس النمط الشائع للتكرار التدريجي في تطوير البرامج الضارة الجاهزة.
توصيات لمواجهة DarkCloud
يجب على المؤسسات التي تسعى للدفاع ضد DarkCloud وبرامج سرقة المعلومات المماثلة المعتمدة على نطاق واسع تبني التدابير التالية:
- معاملة المرفقات المضغوطة (ZIP و RAR) التي يتم تسليمها عبر التصيد الاحتيالي كمتجهات وصول أولية عالية المخاطر، وتنفيذ سياسات صارمة لتصفية مرفقات البريد الإلكتروني.
- مراقبة حركة مرور الشبكة بحثًا عن أنماط غير طبيعية لنقل البيانات عبر قنوات SMTP، FTP، و Telegram.
- مراجعة إعادة استخدام بيانات الاعتماد عبر كلمات المرور المخزنة في المتصفح وتطبيقات البريد الإلكتروني، وفرض سياسات إدارة كلمات المرور على مستوى المؤسسة.
- إعطاء الأولوية لتدوير كلمات المرور وتفعيل خطط الاستجابة للحوادث فورًا بعد أي اختراق مشتبه به.
- نشر أدوات اكتشاف نقطة النهاية القادرة على مراقبة بيئات وقت التشغيل القديمة، لا سيما تلك التي تستخدم مكونات وقت تشغيل VB6 مثل MSVBVM60.DLL.
برامج سرقة المعلومات مثل DarkCloud لا تعتمد على ثغرات يوم الصفر أو تقنيات خارقة. إنها تستغل النطاق، وسهولة الوصول، وكشف الهوية – وفي مشهد تعتبر فيه الهوية هي المحيط الجديد، يمكن حتى للاشتراك الذي يكلف 30 دولارًا أن يسبب ضررًا مدمرًا للعمليات التجارية للمؤسسة.