انتشرت مؤخراً النسخة الجديدة من برمجيات Phantom Stealer الخبيثة، والمعروفة بالرقم 3.5، لتشكل تهديداً متزايداً للمستخدمين حول العالم، نظراً لقدرتها على سرقة المعلومات الحساسة مثل كلمات المرور، وملفات تعريف الارتباط الخاصة بالمتصفحات، وبيانات بطاقات الائتمان، بالإضافة إلى بيانات محافظ العملات المشفرة.
تعتمد هذه البرمجية الخبيثة على أساليب خادعة في التغليف، حيث غالباً ما تتنكر في شكل مثبتات لبرامج Adobe الأصلية، مما يجعل من الصعب على المستخدمين غير المتيقظين اكتشاف الخطر قبل وقوع الإصابة.
تبدأ عملية الهجوم بملف مزيف لمثبت Adobe 11.7.7، والذي تم تحديده لأول مرة في 29 أكتوبر 2025. هذا الملف هو في الواقع مستند XML مشفر يحتوي على كود JavaScript مدمج، مصمم لتشغيل سلسلة من الأنشطة الخبيثة.
عند تنفيذه، يقوم الملف بتنزيل نص برمجي من PowerShell من خادم بعيد، ممهداً الطريق لاختراق أعمق للنظام وجمع البيانات.
اكتشف باحثو K7 Security Labs أن Phantom Stealer يستخدم آلية إصابة متعددة المراحل، مما يعكس تطوراً تقنياً ملحوظاً.
Phantom Stealer: تقنيات متقدمة لسرقة البيانات
تقوم البرمجية الخبيثة بتحميل نص برمجي مشفر من PowerShell من عنوان URL positivepay-messages.com/file/floor.ps1. يتم تشغيل هذا النص بأوصاف مخفية، متجاوزاً بذلك سياسات الأمان.
يحتوي هذا النص على بيانات مشفرة باستخدام خوارزمية RC4، والتي عند فك تشفيرها، تكشف عن تعليمات لتحميل تجميعة .NET مباشرة في الذاكرة.
تتضمن المرحلة الثانية حقن BLACKHAWK.dll، وهو مكون حاسم يقوم بحقن العملية في الأداة المساعدة الشرعية لنظام Windows، Aspnetcompiler.exe.
تسمح هذه التقنية الخبيثة بتشغيل الشيفرة الضارة داخل عملية نظام موثوق بها، مما يتيح لبرنامج التجسس العمل بعيداً عن أنظار برامج الأمان.
تراقب البرمجية الخبيثة باستمرار ما إذا كانت عملية Aspnetcompiler.exe قيد التشغيل، وذلك كل خمس ثوانٍ، مما يضمن استمرارية عملياتها.
تقنيات حقن العمليات والتخفي
تستفيد Phantom Stealer من أساليب تخفي متقدمة لتجنب الكشف والتحليل. تطبق البرمجية الخبيثة العديد من فحوصات مكافحة التحليل، بما في ذلك اكتشاف الآلات الافتراضية، وصناديق الرمل (sandboxes)، وأدوات المراقبة، وذلك من خلال مطابقة أسماء المستخدمين المشبوهة مع قائمة محددة مسبقاً تضم 112 اسماً لصناديق الرمل.
إذا تم اكتشاف مثل هذه البيئات، تقوم البرمجية الخبيثة بتدمير ذاتها عن طريق إنشاء ملف دفعي يقوم بإنهاء عمليتها بالقوة.
والأبرز من ذلك، يستخدم برنامج التجسس تقنية Heavens Gate، وهي تقنية متطورة للتخفي من الخطافات (hooks) في وضع المستخدم، حيث تنتقل العمليات 32 بت إلى وضع التنفيذ 64 بت.
يتيح هذا الأمر للبرمجية الخبيثة تجاوز الخطافات في وضع المستخدم 32 بت وتنفيذ استدعاءات نظام x64 أصلية مباشرة، للوصول إلى البيانات الحساسة دون إطلاق آليات الأمان المصممة لمراقبة سلوك العمليات.
بمجرد التثبيت، تقوم Phantom Stealer باستخلاص بيانات اعتماد المتصفح، بما في ذلك بيانات Chrome و Edge، عن طريق الوصول إلى قواعد البيانات المشفرة وفك تشفيرها باستخدام مفاتيح التشفير المستخرجة.
تقوم البرمجية الخبيثة بجمع بيانات اعتماد محافظ العملات المشفرة، وإعدادات بريد Outlook الإلكتروني، والبيانات المسجلة عبر لوحة المفاتيح، ومعلومات النظام بما في ذلك لقطات الشاشة التي يتم التقاطها كل 1000 مللي ثانية.
لتصدير البيانات، يستخدم برنامج التجسس قنوات متعددة، بما في ذلك بروتوكولات SMTP و FTP، ومنصات الاتصال مثل Telegram و Discord.
يتم تنظيم البيانات المسروقة بأسماء أجهزة الكمبيوتر والطوابع الزمنية، مما يؤدي إلى إنشاء مستودع منظم لمعلومات الضحايا جاهز للاستخدام الخبيث.
يجب على المؤسسات تطبيق ترشيح قوي للبريد الإلكتروني، وتحديثات منتظمة للبرامج، وحماية متقدمة لنقاط النهاية للدفاع ضد هذا التهديد المتطور.