تشهد المؤسسات المالية موجة جديدة من الهجمات السيبرانية تستهدف سرقة المعلومات، مع تصاعد استخدام برمجية PXA Stealer الخبيثة. يأتي هذا التصعيد بعد جهود إنفاذ القانون في تفكيك عمليات تجسس رئيسية مثل Lumma و Rhadamanthys و RedLine خلال عام 2025، مما أفسح المجال لـ PXA Stealer لملء الفراغ. وتشير تقديرات الباحثين إلى نمو نشاط هذه البرمجية بما يتراوح بين 8 إلى 10 بالمائة خلال الربع الأول من عام 2026، مع استهدافها لشركات عالمية.
تعتمد الحملات الهجومية الجديدة على رسائل تصيد احتيالي تتضمن روابط خبيثة توجه الضحايا إلى تحميل ملفات ZIP تحتوي على برمجيات خبيثة مخفية. يستخدم المهاجمون مجموعة واسعة من المستندات المزيفة لإغراء الأهداف، بما في ذلك السير الذاتية المزيفة، وتحديثات لبرامج مثل Adobe Photoshop، ونماذج ضريبية، ووثائق قانونية. هذه التنوع يجعل من الصعب على أنظمة فلترة البريد الإلكتروني الدفاع ضد التهديدات.
PXA Stealer: تهديد متنامٍ للمؤسسات المالية
لفت محللو CyberProof والباحثون الأمنيون الانتباه إلى هذه الحملة المتزايدة خلال الربع الأول من عام 2026، مشيرين إلى تركيزها المتعمد على المؤسسات المالية العالمية. تركز التحقيق على مجموعة حملات مرتبطة بمعرف بوت يُسمى “Verymuchxbot”. يميز هذا المعرف عن الأنشطة المعروفة لـ PXA Stealer التي تم الإبلاغ عنها سابقًا في أغسطس 2025.
من خلال تتبع سلسلة الإصابة الكاملة، بدءًا من أول رسالة تصيد احتيالي وصولاً إلى سرقة البيانات النهائية، تمكن الفريق من توثيق كيفية وصول البرمجية الخبيثة إلى هدفها بالتفصيل. تعمل PXA Stealer على جمع بيانات اعتماد المتصفح، وكلمات المرور المحفوظة، وبيانات المحافظ الرقمية من الأجهزة المصابة بشكل خفي.
آلية عمل PXA Stealer
بعد جمع هذه المعلومات، تقوم البرمجية بإرسال كل شيء عبر قنوات Telegram، مما يساعد على تجنب كشف حركة المرور الصادرة. تضيف البرمجية أيضًا إدخالًا في سجل النظام لضمان استمرار عملها حتى بعد إعادة تشغيل الجهاز، مما يمنح المهاجمين وصولاً طويل الأمد إلى النظام المخترق.
ما يميز هذه الحملة بشكل خاص هو دمجها السلس مع أنشطة النظام العادية. يستخدم المهاجمون أدوات Windows شرعية ويعيدون تسمية الملفات لتتوافق مع أسماء العمليات المعروفة، مما يقلل من احتمالية اكتشافها. مع توسع نطاق PXA Stealer، تواجه المؤسسات في القطاع المالي خطرًا حقيقيًا ومتزايدًا على بياناتها، مما يستلزم إجراءات أمنية مشددة.
سلسلة العدوى: اختراق PXA Stealer
تبدأ الهجمة عندما ينجرف الضحية إلى تحميل أرشيف ZIP باسم “Pumaproject.zip” من النطاق downloadtheproject[.]xyz. يحتوي الأرشيف على ملف باسم “Document.docx.exe” مصمم ليبدو كمستند Word عادي غير ضار.
عندما يقوم الضحية بتشغيل هذا الملف، تبدأ البرمجية الخبيثة في العمل. تقوم باستخراج مفسر Python، ومكتبات Python متعددة، وسكربتات خبيثة، وتقوم بإنشاء مجلد مخفي باسم “Dots” لتخزين بقية مكونات الهجوم.
تفاصيل الاختراق
في مجلد “Dots”، يقوم المهاجمون بتخزين ملف WinRar شرعي تم تغيير اسمه إلى “picture.png”. بالإضافة إلى ذلك، يوجد أرشيف مشفر متنكر باسم “Shodan.pdf”. تستخدم أداة Windows المعروفة certutil لفك تشفير هذا الملف، ومن ثم يقوم ملف WinRar بفك ضغط الأرشيف باستخدام كلمة المرور “shodan2201”.
توضع المحتويات في المسار C:UsersPublicWindowsSecure، ويتم تغيير اسم مفسر Python إلى “svchost.exe” لجعله يبدو كعملية Windows موثوقة. يتم بعد ذلك تشغيل سكربت Python مشفر بشكل كبير، متنكر باسم “images.png”، مع وسيط الأمر $BOT_ID الذي يشير إلى “Verymuchxbot”.
يقوم السكربت بالتشابك مع متصفحات الضحية لاعتراض بيانات الاعتماد وبيانات محفظة العملات الرقمية خلال الجلسات النشطة. وأخيراً، يتم إرسال جميع البيانات المسروقة عبر Telegram إلى قنوات يتحكم فيها المهاجمون.
يجب على الفرق الأمنية مراقبة رسائل البريد الإلكتروني بحثًا عن الروابط المشبوهة والمرفقات بصيغة ZIP أو RAR، خاصة تلك التي تحمل أسماء ملفات تشير إلى فواتير أو مستندات متعلقة بالعمل. ينبغي حظر الاتصالات الصادرة إلى نطاقات عليا مثل .xyz، .shop، .info، و .net، مع ضرورة مراجعة سياق الملف المصدر دائمًا.
يجب تدقيق حركة المرور الموجهة إلى تطبيقات المراسلة الخارجية مثل Telegram للكشف عن أي نقل غير مصرح به للبيانات. وينبغي التعامل مع تنبيهات EDR المتعلقة بحقن العمليات على وجه السرعة، مع ضرورة تحديث خلاصات المعلومات الاستخباراتية عن التهديدات واستعلامات البحث عن التهديدات باستمرار للكشف عن تهديدات تجسس المعلومات الناشئة قبل أن تتسبب في أضرار.