انتشر مؤخراً برمجية خبيثة جديدة من نوع حصان طروادة للوصول عن بعد (RAT) تُعرف باسم Steaelite، مما أثار قلقاً متزايداً بين فرق الأمن السيبراني في الشركات. تم رصد هذه البرمجية لأول مرة في شبكات الجريمة الإلكترونية تحت الأرض في نوفمبر 2025، وتتميز بدمجها مرحلتين هجوميتين منفصلتين تقليدياً – سرقة البيانات ونشر برامج الفدية – في لوحة تحكم واحدة قائمة على المتصفح.
يُسوق بائعو Steaelite هذه الأداة على منتديات الويب المظلم على أنها “أفضل حصان طروادة للوصول عن بعد لنظام ويندوز”، مع مزاعم بأنها غير قابلة للاكتشاف تماماً (FUD)، ومتوافقة مع أنظمة ويندوز 10 و 11، وتوفر مراقبة شبكة افتراضية مخفية (HVNC) مستقرة، وتجاوزاً لتطبيقات الخدمات المصرفية.
يُشير محللو BlackFog إلى أن Steaelite يمثل تهديداً كبيراً، حيث يجمع سلسلة هجوم الابتزاز المزدوج بالكامل ضمن لوحة تحكم ويب واحدة. تقليدياً، كانت هجمات الابتزاز المزدوج تتطلب أدوات منفصلة، واحدة للوصول الأولي وسرقة البيانات، وأخرى لنشر برامج الفدية، وغالباً ما كانت تتضمن تنسيقاً بين مجموعات إجرامية متعددة.
تُزيل Steaelite هذه التعقيدات، مما يجعلها في متناول مجرمي الإنترنت ذوي المهارات المنخفضة الذين يرغبون في تنفيذ عمليات الابتزاز بشكل مستقل. ولا يتوقف التهديد عند أجهزة ويندوز؛ حيث أعلن مطور الأداة بالفعل عن وحدة برامج فدية لنظام أندرويد قيد التطوير حالياً، مما يشير إلى أن البرمجية الخبيثة قد تمتد قريباً إلى الأجهزة المحمولة التي يستخدمها الموظفون للمصادقة الثنائية والمراسلات التجارية.
يمكن لهذا أن يسمح لترخيص واحد من Steaelite بتغطية كل من نقاط النهاية الخاصة بالشركات والأجهزة المحمولة الشخصية، مما يوسع بشكل كبير مساحة الهجوم للشركات المستهدفة. التأثير الإجمالي على وضع الأمن السيبراني للمؤسسات كبير؛ فالمنظمات التي كانت تعتمد سابقاً على إيقاف برامج الفدية عند مرحلة التشفير، أصبحت الآن مكشوفة في وقت مبكر من سلسلة الهجوم.
داخل لوحة تحكم Steaelite المتكاملة
السمة الخطيرة بشكل خاص لـ Steaelite هي عمق وأتمتة لوحة تحكم المشغل القائمة على المتصفح. عندما يتصل جهاز الضحية، تبدأ اللوحة فوراً في حصاد كلمات المرور المخزنة في المتصفح، وملفات تعريف الارتباط للجلسات، وتوكنات التطبيقات دون أي أمر يدوي من المشغل.
تعني هذه القدرة المؤتمتة أن سرقة البيانات تكتمل قبل أن يقوم معظم المشغلين بمراجعة قائمة الضحايا. تجمع شريط الأدوات الأساسي تنفيذ التعليمات البرمجية عن بعد، وبث الشاشة المباشر، والوصول إلى كاميرا الويب والميكروفون، وإدارة الملفات، والتحكم في العمليات، ومراقبة الحافظة، واستعادة كلمة المرور، وتتبع الموقع، ووحدات DDoS، وتجميع حمولات VB.NET.
يكشف قسم الأدوات المتقدمة عن نشر برامج الفدية، والوصول عن بعد المخفي، وتعطيل Windows Defender، وتثبيت الاستمرارية، مما يمنح المهاجمين سيطرة كاملة على الجهاز ببضع نقرات فقط. تكمن ميزة خفية بشكل خاص في أداة قص العملات المشفرة داخل لوحة أدوات المطور.
تقوم هذه الأداة بمراقبة عنوان محفظة العملات المشفرة للضحية بصمت وتبدلها بعنوان يتم التحكم فيه من قبل المهاجم قبل اكتمال عملية اللصق. لا يرى الضحية أي شيء غير عادي بينما يتم تحويل الأموال بهدوء. توفر وحدة تنفيذ التعليمات البرمجية عن بعد موجه أوامر حياً في المتصفح.
بالاشتراك مع وحدة تجاوز UAC، يمكن للمشغلين تنفيذ الأوامر بامتيازات المسؤول دون إثارة تحذيرات الوصول القياسية. يسمح مدير الملفات بالتنقل الكامل في الدليل وتنزيل الملفات بنقرة واحدة، مما يلغي الحاجة إلى أدوات استخلاص منفصلة.
مؤشرات الاختراق (IOCs)
| نوع المؤشر | القيمة |
|---|---|
| SHA-256 | b2a8d97da2a653de75d3d1be5839 |
| C2 | 1e81ea2a059f.ngrok-free.app |
| المسارات المرتبطة | /dashboard.html, /victim.html |
| اسم المستخدم | Steaelite |
| أول ملاحظة | نوفمبر 2025 |
يجب على المؤسسات مراقبة حركة مرور الشبكة الصادرة بحثاً عن عمليات نقل بيانات غير عادية، وفرض قوائم تطبيقات تسمح فقط بالبرامج التنفيذية المصرح بها، وتطبيق قواعد اكتشاف نقطة النهاية التي تحدد نشاط HVNC ومحاولات تجاوز UAC غير المتوقعة. يجب على فرق الأمن تدقيق بيانات الاعتماد المخزنة في المتصفح بانتظام ونشر مصادقة متعددة العوامل مقاومة للتصيد لتقليل تأثير حصاد بيانات الاعتماد الآلي.