كشف خبراء الأمن السيبراني عن برمجية خبيثة جديدة تُعرف باسم “Sryxen”، والتي تستهدف أنظمة ويندوز بقدرات متطورة لسرقة بيانات الاعتماد الحساسة وملفات المتصفح، مما يضع ضغطاً على آليات الأمان الحالية.
تُباع هذه البرمجية كخدمة خبيثة، وتعتمد على لغة C++، وتُظهر كيف تتكيف البرمجيات الخبيثة الحديثة للتغلب على التحسينات الأمنية في المتصفحات، لا سيما آلية تشفير التطبيقات (App-Bound Encryption) التي أضافتها جوجل مؤخراً لحماية متصفح كروم.
آلية Sryxen تتخطى تشفير كروم
تعمل Sryxen كأداة سريعة لجمع بيانات الاعتماد، حيث صُممت للتنفيذ السريع دون ترك أي أثر دائم على الأنظمة المخترقة. تستهدف البرمجية متصفح كروم الإصدار 127 وما فوق، حيث طبقت جوجل آلية تشفير جديدة لحماية ملفات تعريف الارتباط (cookies) والبيانات الحساسة الأخرى.
بدلاً من محاولة كسر التشفير مباشرة، تتبع Sryxen نهجاً مبتكراً. تقوم بتشغيل متصفح كروم في وضع “headless” (بدون واجهة مرئية) وتستخدم بروتوكول أدوات المطور (DevTools Protocol) الخاص بالمتصفح لطلب بيانات ملفات الارتباط بشكل مشفر. وبذلك، تتجاوز آلية الأمان الجديدة بفعالية.
وفقاً لباحثي DeceptIQ، تعتمد Sryxen على طبقات متعددة لتجنب الكشف والتحليل. تستخدم البرمجية تشفير التعليمات البرمجية المعتمد على معالجة الاستثناءات المتجهة (Vectored Exception Handling)، مما يبقي الحمولة الرئيسية مشفرة أثناء التخزين ويتم فك تشفيرها فقط أثناء التنفيذ عبر آليات معالجة الاستثناءات.
هذه التقنية تصعّب التحليل الثابت للتعليمات البرمجية، حيث تظهر كبيانات غير مفهومة عند فحصها دون تشغيلها. إضافة إلى ذلك، تطبق البرمجية ستة فحوصات منفصلة لمكافحة التصحيح (anti-debug)، بما في ذلك فحص NtGlobalFlag وتحليل PEB (Process Environment Block)، وتقوم بإنهاء التنفيذ إذا تم اكتشاف أدوات التصحيح.
كيف تعمل Sryxen ضد تشفير كروم
يكمن الابتكار الأبرز في Sryxen في طريقتها لسرقة ملفات تعريف الارتباط الخاصة بكروم المحمية بتشفير التطبيقات. عندما تكتشف البرمجية أن إصدار كروم هو 127 أو أعلى، تتخلى عن طرق استخراج قواعد البيانات التقليدية.
بدلاً من ذلك، تقوم بإنهاء أي عمليات تشغيل لمتصفح كروم ثم تعاود تشغيله باستخدام وسائط سطر أوامر محددة. تشمل هذه الوسائط –headless، –remote-debugging-port، و –user-data-dir. تتيح هذه الخيارات تمكين قدرات التصحيح عن بعد دون عرض أي نوافذ مرئية.
بمجرد تشغيل كروم بهذه الإعدادات، تتصل Sryxen بمنفذ التصحيح عبر WebSocket وترسل أمراً عبر بروتوكول أدوات المطور بطلب جميع ملفات تعريف الارتباط باستخدام طريقة Network.getAllCookies.
يقوم كروم بمعالجة هذا الطلب داخلياً، ويفك تشفير ملفات تعريف الارتباط باستخدام مفتاح تشفير التطبيقات الخاص به، ثم يعيد البيانات النصية الواضحة إلى البرمجية الخبيثة. تجدر الإشارة إلى أن ملفات تعريف الارتباط المفككة لا تلامس القرص الصلب مطلقاً، مما يجعل المراقبة القائمة على الملفات غير فعالة.
بعد استلام البيانات، تقوم Sryxen بإنهاء عملية كروم وتواصل سرقة معلومات أخرى من المتصفح، بما في ذلك كلمات المرور وبيانات محافظ العملات المشفرة. بعد ذلك، تقوم بضغط كل المعلومات في أرشيف وتحميلها إلى بوت تليجرام يتحكم فيه المهاجمون، وذلك باستخدام أوامر curl المنفذة عبر PowerShell.