شهدت برمجيات LummaStealer الخبيثة، المتخصصة في سرقة المعلومات، عودة قوية بعد عملية أمنية كبيرة أدت إلى تعطيلها في عام 2025. تتسم هذه العودة بتغيير في تكتيكات التوزيع، حيث تحوّل المهاجمون من أدوات الاختراق التقليدية نحو حملات هندسة اجتماعية شرسة.
يقوم مجرمو الإنترنت حاليًا باستغلال تقنيات “ClickFix” التي تعرض صفحات تحقق زائفة من نوع CAPTCHA للمستخدمين. هذه الصفحات المخادعة تدفع الضحايا عن غير قصد إلى تنفيذ أوامر خبيثة على أنظمتهم، متجاوزة بذلك التحذيرات والبروتوكولات الأمنية القياسية.
عودة LummaStealer بأساليب هجومية جديدة
تطورت البنية التحتية لتوزيع البرمجيات الخبيثة، لتصبح أكثر مرونة وصعوبة في الكشف. فبدلاً من الاعتماد على التحميل المباشر فقط، تستخدم الحملات الجديدة برنامج تحميل متطور يعرف باسم CastleLoader. يهدف هذا البرنامج المرحلي إلى التهرب من برامج مكافحة الفيروسات عن طريق تنفيذ الشيفرة الخبيثة مباشرة في ذاكرة الكمبيوتر.
من خلال تجنب إنشاء ملفات على القرص الصلب خلال المرحلة الأولية، يقلل الهجوم من البصمة الرقمية التي يتركها، مما يعقد جهود التحليل الجنائي والتخفيف من آثاره.
وقد سلط محللو Bitdefender الضوء على هذا النشاط المتجدد، مؤكدين على الدور الحاسم الذي يلعبه CastleLoader في سلسلة الإصابة. تشير أبحاثهم إلى أن برنامج التحميل هذا ليس مجرد وسيلة توصيل، بل أداة معقدة مزودة بميزات إخفاء وتجنب التحليل.
تستهدف البرمجيات الخبيثة أنظمة ويندوز لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد المتصفحات، وملفات تعريف الارتباط للجلسات، ومحافظ العملات المشفرة، ورموز المصادقة الثنائية. تُستخدم هذه المعلومات المسروقة عالميًا للاستيلاء على الحسابات، والاحتيال المالي، وسرقة الهوية.
التحليل الفني لـ CastleLoader
يعمل CastleLoader كجسر خفي بين الإصابة الأولية ونشر حمولة LummaStealer. يتم تسليم برنامج التحميل هذا كبرنامج AutoIt مكتمل، وهو أداة أتمتة شرعية يستغلها المهاجمون لإخفاء شيفرتهم.
عند التنفيذ، يستخدم البرنامج النصي إخفاءً مكثفًا لإخفاء هدفه الحقيقي، حيث يستبدل أسماء المتغيرات بكلمات عشوائية ويدرج “رموزًا ميتة”. هذا يجعل من الصعب على أدوات الأمن الآلية تحليل نية الملف.
قبل استرداد الحمولة النهائية، يقوم CastleLoader بإجراء سلسلة من فحوصات البيئة للتأكد من أنه يعمل على جهاز الضحية الفعلي وليس على بيئة تشغيل معزولة مخصصة للباحثين الأمنيين. يقوم بفحص النظام بحثًا عن أسماء أجهزة أو مستخدمين محددة غالبًا ما تستخدم في بيئات الاختبار.
إذا كشف عن وجود برامج افتراضية مثل VMware أو VirtualBox، فإنه يوقف عمليته لتجنب الكشف. ومن الخصائص الفريدة لبرنامج التحميل هذا هو قيامه بإنشاء بحث DNS فاشل لنطاق غير موجود، مما يخلق “علامة” مميزة يمكن للمدافعين استخدامها لتحديد الإصابة.
بمجرد اعتبار البيئة آمنة، يضمن البرنامج استمرارية عمله عن طريق نسخ نفسه إلى مجلد بيانات التطبيق المحلي وإنشاء اختصار بدء تشغيل، مما يضمن تشغيله تلقائيًا.
للحفاظ على الأمان، يجب على المستخدمين توخي الحذر من الصفحات التي تطلب خطوات تحقق يدوية مثل النسخ واللصق. ويظل تجنب البرامج المقرصنة وتحديث حلول الأمان هو الدفاع الأكثر فعالية ضد هذه التهديدات المتطورة.