شهدت الساحة السيبرانية ظهور برمجية خبيثة جديدة تندرج تحت فئة برامج سرقة المعلومات، تُعرف باسم “AuraStealer”، وذلك منذ منتصف عام 2025. يهدف هذا البرنامج إلى سرقة بيانات حساسة من أجهزة المستخدمين، مما يشكل تهديدًا متزايدًا للأمن الرقمي.
ويُعتقد أن هذه البرمجية الخبيثة قد طُورت وتمت صيانتها بشكل نشط من قبل مجموعة من الأفراد الناطقين باللغة الروسية. ظهرت “AuraStealer” لأول مرة في منتديات القراصنة في يوليو 2025، وذلك عقب تعطيل البنية التحتية لبرنامج “Lumma stealer” وما تركته من فجوة في سوق برامج سرقة المعلومات.
AuraStealer: برمجية سرقة المعلومات الجديدة تدفع باتجاه سوق التجسس الرقمي
وسعت المجموعة المهاجمة بسرعة من نطاق انتشارها، مقدمةً “AuraStealer” كمنافس مباشر لـ “LummaC2”. وتأتي هذه البرمجية مع نموذج اشتراك، ولوحة تحكم متطورة، وقاعدة مستخدمين نشطة تشهد توسعًا مستمرًا.
تم الترويج للبرمجية لأول مرة على منتدى XSS بتاريخ 8 يوليو 2025، تحت اسم المستخدم “AuraCorp”. وتضمن المنشور، الذي كُتب باللغة الروسية، تفاصيل شاملة لمميزات البرمجية، وصورًا لواجهة التحكم، وحتى اتفاقية مستخدم.
تم نشر نفس الرسالة لاحقًا على منتديات أخرى مثل Exploit في 7 أغسطس 2025، و Darkmarket في 29 نوفمبر، بالإضافة إلى منتديات متعددة باللغة الإنجليزية مثل Blackbones و Sinister و Enclave و Darkstash في ديسمبر 2025، مما يدل على انتشارها الواسع في الأوساط الإجرامية الرقمية.
يدعي المطور أن الأداة صُممت بواسطة محترفين ذوي خبرة، وأنها قادرة على جمع البيانات من أكثر من 110 متصفحات، وأكثر من 70 تطبيقًا، وحوالي 250 إضافة للمتصفح، مما يجعلها تهديدًا واسع النطاق بطبيعتها.
البنية التحتية للتحكم والقيادة (C2) لـ AuraStealer
حدد محللو Intrinsec أن “AuraStealer” تمثل تهديدًا سريع النمو مدعومًا ببنية تحتية متينة للتحكم والقيادة (C2). وكشفت أبحاثهم عن 48 اسم نطاق C2 مرتبط بعمليات “AuraStealer”، تم استخلاصها من أكثر من 200 عينة تم العثور عليها على VirusTotal.
يستخدم المهاجمان نطاقات المستوى الأعلى .SHOP و .CFD، وكلاهما رخيص الثمن ويُساء استخدامهما بشكل شائع من قبل المشغلين ذوي الميزانيات المحدودة. ولإخفاء الخادم الحقيقي، يقوم المهاجم بتوجيه جميع حركة المرور عبر Cloudflare كوكيل عكسي.
ولاحظ المحللون أن البنية التحتية لـ C2 يبدو أنها تتحول من نطاقات .SHOP إلى .CFD في إصدارات أحدث من البرمجيات الخبيثة، مما يشير إلى عملية تتطور باستمرار.
لوحة تحكم متكاملة للمهاجمين
توفر لوحة تحكم “AuraStealer” للمشترين كل ما يحتاجونه لإدارة حملاتهم، بما في ذلك إنشاء الإصدارات، وتصفية السجلات، ولوحات المعلومات التي تعرض التفاصيل الجغرافية، والتكامل مع روبوتات Telegram لاستقبال البيانات المسروقة.
تُباع البرمجية في شكل حزمتين اشتراك: 295 دولار شهريًا للخطة الأساسية، و 585 دولار شهريًا للخطة المتقدمة، مما يعكس استراتيجية تسويقية منظمة.
وقد صرح المطور علنًا بأن المستخدمين السابقين لبرامج مثل Lumma و StealC و Vidar و Rhadamanthys بدأوا بالتحول إلى “AuraStealer”، وتم تأكيد حملات متعددة بالفعل في الميدان.
يُعد نطاق البيانات التي تجمعها البرمجية كبيرًا بشكل ملحوظ، ويشمل بيانات اعتماد المتصفح، وبيانات محافظ العملات المشفرة، ورموز المصادقة الثنائية (2FA)، وملفات تعريف الارتباط للجلسات من تطبيقات مثل Discord و Telegram و Steam، وملفات تكوين VPN، وقواعد بيانات مديري كلمات المرور من أدوات مثل KeePass و Bitwarden، ومحتويات الحافظة، ولقطات شاشة لسطح مكتب الضحية.
سلاسل التوصيل عبر ClickFix وبرامج التحميل
تصل برمجية “AuraStealer” إلى الضحايا بشكل أساسي من خلال تقنية هندسة اجتماعية تُعرف باسم ClickFix. وقد وثق باحثو الأمن حملة ملحوظة في أكتوبر 2025 حيث تم تقديم مقاطع فيديو احتيالية على TikTok على أنها دروس تعليمية لتفعيل برامج شائعة مثل Windows و Microsoft 365 و Adobe Photoshop و Spotify.
كان يُطلب من المشاهدين فتح PowerShell بصلاحيات المسؤول وتشغيل أمر قصير من سطر واحد. هذا الأمر كان يقوم بتنزيل وتنفيذ عينة من “AuraStealer” بهدوء على جهاز الهدف دون أي تحذير مرئي.
بالإضافة إلى فخاخ TikTok، تم توزيع البرمجية الخبيثة من خلال مجموعة واسعة من المحملات (Loaders) وبرامج التنزيل (Downloaders). في حالات مختلفة، تم حقن “AuraStealer” في عمليات Windows الشرعية مثل regasm.exe و SndVol.exe باستخدام نصوص Visual Basic، وأرشيفات ذاتية التنفيذ، وبرامج تحميل Shellcode من نوع Donut.
في حالات أخرى، قام برنامج تحميل يُعرف باسم “Soulbind” باسترداد وتنفيذ الحمولة من خوادم بعيدة. كما تم استخدام ملفات .NET DLL خبيثة، وتقنيات DLL sideloading، وأداة تنظيف وهمية تُدعى Gcleaner عبر حملات مختلفة.
يجب على فرق الأمن حظر تنفيذ PowerShell الذي يتم تشغيله عبر محتوى وسائل التواصل الاجتماعي أو مواقع تفعيل البرامج غير الرسمية. ويجب تكوين حلول نقطة النهاية للكشف عن حقن العمليات في ملفات نظام Windows الشرعية وإطلاق التنبيهات. كما يجب حظر جميع نطاقات C2 الـ 48 المعروفة الموثقة في هذا التقرير على حدود الشبكة دون تأخير.
يُعد تدريب الوعي للموظفين ضروريًا لمساعدة المستخدمين على تحديد هجمات الهندسة الاجتماعية من نوع ClickFix، خاصة تلك التي يتم تقديمها عبر منصات الفيديو مثل TikTok. يمكن أن يؤدي تقييد الوصول الإداري إلى PowerShell وتمكين قائمة السماح للتطبيقات إلى تقليل خطر الإصابة عبر المؤسسة بشكل كبير.