كشف خبراء الأمن السيبراني عن برمجية خبيثة متطورة تُعرف باسم “Venom Stealer”، والتي تعمل كخدمة تأتي بأسعار اشتراك متدرجة. تختلف هذه البرمجية عن معظم أدوات سرقة المعلومات التقليدية بقدرتها على بناء سلسلة هجمات مؤتمتة بالكامل، تبدأ بحيل هندسة اجتماعية بسيطة وتنتهي بالاستيلاء الكامل على البيانات الرقمية الضحية، بما في ذلك الأصول المالية في محافظ العملات المشفرة.
وبحكم ما تقدمه من قدرات متقدمة، تمثل “Venom Stealer” تهديدًا متزايدًا للأفراد والمؤسسات على حد سواء، حيث تعتمد على آليات مبتكرة لتجاوز الدفاعات الأمنية واستهداف معلومات حساسة، مما يستدعي توعية مكثفة وتدابير وقائية فعالة.
Venom Stealer: تطور جديد في عالم الهجمات السيبرانية
تتجاوز “Venom Stealer” المفهوم التقليدي لبرمجيات سرقة بيانات الاعتماد، والتي تقتصر عادةً على جمع كلمات المرور وإعادة إرسالها. تعمل آليتها على أتمتة كل مرحلة من مراحل الهجوم، بدءًا من الوصول الأولي وصولاً إلى استنزاف البيانات، مع الحفاظ على قناة إخراج البيانات نشطة حتى بعد اكتمال عملية الإصابة الأولية.
يُبرز هذا النهج المتكامل ما يجعل “Venom Stealer” أكثر خطورة من أدوات أخرى شائعة مثل Lumma و Vidar و RedLine. غالبًا ما تتوقف هذه الأدوات عند مرحلة جمع بيانات الاعتماد، ولا تستمر في الوصول المستمر بعد الإصابة الأولية.
نموذج العمل والتسويق لـ “Venom Stealer”
يقدم مطور البرمجية، الذي يعمل تحت الاسم المستعار “VenomStealer”، خدماته عبر نموذج اشتراك يبدأ من 250 دولارًا شهريًا ويصل إلى 1800 دولار لتراخيص مدى الحياة. وتدعم المنصة الترخيص عبر تيليجرام، وبرنامج إحالة بنسبة 15%، وحزمة برمجية أصلية مكتوبة بلغة C++ يتم تجميعها بشكل منفصل لكل مشغل عبر لوحة تحكم الويب.
تشير التحديثات المتعددة التي شهدتها المنصة خلال شهر مارس 2026 وحده إلى أن هذه عملية إجرامية نشطة تشهد تطويرًا مستمرًا، مما يعكس جدية المطورين في تحديث أدواتهم لمواكبة التطورات الأمنية.
آلية الهجوم والاستغلال
تبدأ الهجمة عندما يزور الضحية صفحة “ClickFix” التي يتحكم بها المشغل. توفر “Venom Stealer” أربعة قوالب جاهزة لكل من أنظمة ويندوز وماك، تتضمن صفحة مزيفة لـ Cloudflare CAPTCHA، وتحديث نظام تشغيل وهمي، وخطأ شهادة SSL زائف، وصفحة تثبيت خط وهمي.
تقوم كل صفحة بخداع المستخدم لحثه على فتح نافذة تشغيل (Run) أو نافذة طرفية (Terminal)، ولصق أمر، ثم الضغط على Enter. وبما أن المستخدم يقوم بتنفيذ الأمر بنفسه، تبدو العملية وكأنها مبادرة منه، مما يساعد على التسلل وتجاوز أدوات الأمان التي تراقب علاقات العمليات المشبوهة.
بمجرد تشغيل الحمولة الخبيثة، تقوم البرمجية بالمسح الفوري لجميع المتصفحات المبنية على Chromium و Firefox على الجهاز، واستخراج كلمات المرور المحفوظة، وملفات تعريف الارتباط للجلسات، وسجل التصفح، وبيانات الملء التلقائي، و”محافظ” العملات المشفرة من كل ملف تعريف.
يتم تجاوز تشفير كلمات المرور الخاص بمتصفح Chrome (الإصدارات v10 و v20) من خلال تصعيد الامتيازات الصامت باستخدام واجهة CMSTPLUA COM، والتي تستخلص مفتاح فك التشفير دون إطلاق أي حوار UAC، تاركةً وراءها أثرًا جنائيًا ضئيلًا. كما يتم جمع معلومات بصمة النظام وقوائم امتدادات المتصفح، مما يمنح المهاجمين ملفًا شخصيًا شاملاً لكل ضحية قبل إرسال البيانات المسروقة.
الثبات ونافذة إخراج البيانات المستمرة
ما يميز “Venom Stealer” عن معظم برمجيات سرقة المعلومات هو ما يحدث بعد السرقة الأولية. فبدلاً من التشغيل لمرة واحدة والخروج، تبقى “Venom” نشطة على الجهاز المصاب وتراقب باستمرار ملف “Login Data” الخاص بمتصفح Chrome، وتلتقط أي بيانات اعتماد جديدة يتم حفظها بعد بدء الإصابة.
يقوم مستمع الجلسة هذا بفحص الملف كل 30 ثانية، مما يعني أنه حتى لو قام الضحية بإعادة تعيين كلمات المرور الخاصة به بعد حادثة، فسيتم التقاط بيانات الاعتماد الجديدة فور حفظها بواسطة Chrome.
تُرسل أي بيانات متعلقة بمحافظ العملات المشفرة التي يتم اكتشافها إلى محرك فك تشفير يعمل على وحدات معالجة الرسومات (GPU) على جانب الخادم، والذي يقوم تلقائيًا بفك تشفير وسحب الأصول من محافظ عبر تسع شبكات بلوكتشين، بما في ذلك MetaMask و Phantom و Exodus و Electrum.
أضاف تحديث بتاريخ 9 مارس وظيفة “File Password and Seed Finder” التي تفحص نظام الملفات المحلي بحثًا عن العبارات الأولية (seed phrases)، مما يعرض المستخدمين للخطر حتى لو لم يحفظوا بيانات الاعتماد مباشرة داخل المتصفح. هذا يعني أن نافذة الاستيلاء على البيانات لا تنغلق، بل تستمر البرمجية في العمل وجمع المزيد من المعلومات مع مرور الوقت.
يمكن للمؤسسات تقليل تعرضها لمثل هذه التهديدات بتقييد سياسات تنفيذ PowerShell، وتعطيل مربع حوار “Run” لحسابات المستخدمين القياسية عبر Group Policy، وتوفير تدريب منتظم للموظفين يركز على التعرف على صفحات الهندسة الاجتماعية من نوع “ClickFix”. وبما أن الهجوم يعتمد كليًا على خروج البيانات من الجهاز، فإن مراقبة حركة مرور الشبكة الصادرة والتحكم بها تُعد خطوات دفاعية حاسمة يمكن أن تساعد في اكتشاف نشاط استغلال البيانات أو تعطيله قبل حدوث ضرر كبير.