الإمارات العربية المتحدة – ظهرت سلالة جديدة من برمجيات سرقة المعلومات، تُعرف باسم VoidStealer، بطريقة مبتكرة لتجاوز بروتوكول التشفير المرتبط بالتطبيقات (ABE) الخاص بمتصفح جوجل كروم، وذلك دون الحاجة إلى حقن التعليمات البرمجية أو تصعيد الامتيازات. يمثل هذا التطور الأخير، والذي تم اكتشافه في إصدار VoidStealer 2.0 بتاريخ 13 مارس 2026، تحولاً كبيراً في تكتيكات مجرمي الإنترنت لسرقة بيانات المستخدمين الحساسة.
تُعد هذه السلالة الجديدة من VoidStealer، بحسب التحليلات الأمنية، أول برمجية خبيثة معروفة تتجاوز حماية ABE في جوجل كروم. وقد طورت جوجل بروتوكول ABE في يوليو 2024 بهدف تعزيز أمان بيانات المستخدمين مثل كلمات المرور المحفوظة وملفات تعريف الارتباط، من خلال ربط مفتاح التشفير الرئيسي بخدمة النظام ذات الامتيازات العليا.
سلالة VoidStealer الجديدة تتجاوز حماية ABE في جوجل كروم
على الرغم من التحديثات الأمنية، استمرت الجهود المبذولة من قبل القراصنة لإيجاد طرق التفاف. وقد تمكنت سلالة VoidStealer الجديدة من استخلاص بيانات الاعتماد المشفرة للمتصفح مباشرة من الذاكرة باستخدام تقنية تعتمد على المصحح (debugger)، مما يجعل اكتشافها صعباً.
تم الكشف عن VoidStealer كنموذج لـ “البرمجيات الخبيثة كخدمة” (MaaS) في منتصف ديسمبر 2025 عبر منتديات الإنترنت المظلم. وقد شهدت البرمجية تطورات سريعة، حيث انتقلت من الإصدار 1.0 إلى 2.1 في غضون ثلاثة أشهر تقريباً.
آلية تجاوز ABE المبتكرة
تعتمد آلية VoidStealer المتطورة على تقنية مستوحاة من مشروع ElevationKatz مفتوح المصدر، مما يجعلها أول برمجية سرقة معلومات تستخدم هذه الطريقة في الميدان. تتضمن الطريقة الجديدة ربط VoidStealer بمتصفح كروم أو إيدج كـ “مصحح” (debugger)، ومن ثم وضع نقاط توقف للأجهزة (hardware breakpoints) في اللحظة التي يتواجد فيها المفتاح الرئيسي للتشفير (v20_master_key) في الذاكرة كنص عادي.
تبدأ العملية بإطلاق عملية المتصفح في حالة معلقة (suspended) وإلحاقه كمصحح. يستمع VoidStealer بعد ذلك لأحداث التصحيح، مراقباً تحميل كل مكتبة ارتباط ديناميكي (DLL) في مساحة ذاكرة المتصفح.
عند تحميل ملفات مثل chrome.dll أو msedge.dll، يقوم VoidStealer بمسح مقطع .rdata في الـ DLL بحثاً عن سلسلة نصية محددة تشير إلى نقطة فك التشفير. بعد ذلك، يحدد عنوان التعليمة البرمجية المطابقة لإنشاء نقطة توقف.
يتم وضع نقاط التوقف هذه عبر جميع خيوط المتصفح دون تعديل ذاكرة المتصفح نفسه. وعندما يتم تشغيل نقطة التوقف، يتم استخلاص مفتاح v20_master_key من سجلات المعالج (processor registers) باستخدام استدعاءات بسيطة لقراءة الذاكرة.
يُعتبر هذا الأسلوب خطيراً بشكل خاص نظراً لانخفاض بصمة الاكتشاف لديه. فبينما تتطلب تقنيات تجاوز ABE الأخرى عادةً امتيازات النظام العالي أو حقن التعليمات البرمجية، فإن طريقة VoidStealer الجديدة تتجنب ذلك، معتمدة على واجهات برمجة تطبيقات التصحيح القياسية في ويندوز التي تولد اهتماماً أقل بكثير من أدوات الأمان.
تستهدف برمجية VoidStealer حالياً كلاً من جوجل كروم ومايكروسوفت إيدج. ومع توفر هذه التقنية علناً، يتوقع الباحثون الأمنيون أن تحذو برمجيات سرقة المعلومات الأخرى حذوها في المستقبل القريب.
التوصيات الأمنية
ينصح خبراء الأمن السيبراني بالتعامل بحذر شديد مع أي عملية تقوم بإلحاق مصحح بشكل مستقل بمتصفح، حيث أن التطبيقات المشروعة لا تعمل بهذه الطريقة. تشمل فرص الكشف القوية مراقبة قراءات ذاكرة المتصفح من عمليات طرف ثالث، وتنبيه على المتصفحات التي يتم تشغيلها في وضع مخفي، والإبلاغ عن أي استدعاءات غير متوقعة لدوال التصحيح التي تستهدف المتصفحات.
يُعد المؤشر المعروف للاختراق لهذه السلالة من VoidStealer هو: f783fde5cf7930e4b3054393efadd3675b505cbef8e9d7ae58aa35b435adeea4.