ظهرت مؤخرًا برمجية خبيثة جديدة تسمى SantaStealer تستهدف سرقة معلومات تتعلق بمحافظ العملات المشفرة. تعمل هذه البرمجية الضارة كخدمة (MaaS)، مما يسمح للمهاجمين بالوصول إلى بيانات حساسة مرتبطة بأنواع مختلفة من العملات الرقمية. وتُعد هذه البرمجية تهديدًا متزايدًا لمستخدمي العملات المشفرة.
وفقًا للباحثين في Rapid7، فإن SantaStealer هي نسخة مُعاد تصنيفها من برنامج تجسس آخر يُعرف باسم BluelineStealer. ويشاع أن مطوري SantaStealer يستعدون لإطلاق أوسع نطاقًا للبرمجية قبل نهاية العام الحالي، مما يزيد من مخاوف الأمن السيبراني.
تهديد متزايد لـ محافظ العملات المشفرة
تعتبر محافظ العملات المشفرة الهدف الرئيسي لـ SantaStealer. تستهدف البرمجية تطبيقات المحافظ مثل Exodus بالإضافة إلى إضافات المتصفح مثل MetaMask. وهي مُصممة خصيصًا لاستخراج البيانات الخاصة المرتبطة بالأصول الرقمية المخزنة في هذه المحافظ.
لكن SantaStealer لا يقتصر على سرقة بيانات المحافظ فقط. بل إنه يمتد ليشمل سرقة بيانات المتصفح، بما في ذلك كلمات المرور وملفات تعريف الارتباط وسجل التصفح ومعلومات بطاقات الائتمان المحفوظة. بالإضافة إلى ذلك، تستهدف البرمجية أيضًا منصات المراسلة مثل Telegram و Discord، بالإضافة إلى بيانات Steam والمستندات المحلية الموجودة على الأجهزة المصابة.
تحقق SantaStealer من هذه الأهداف عن طريق إسقاط أو تحميل ملف تنفيذي مُضمّن. يقوم هذا الملف التنفيذي بفك تشفير الحقن في المتصفح، مما يمنح الوصول إلى المفاتيح المحمية. وتعمل البرمجية على تشغيل العديد من وحدات جمع البيانات في وقت واحد، حيث تعمل كل وحدة في سلسلة رسائل منفصلة.
يتم كتابة البيانات المسروقة في الذاكرة، ثم يتم ضغطها في ملفات ZIP، ثم يتم تهريبها على دفعات بحجم 10 ميجابايت. يتم إرسال هذه البيانات إلى خادم قيادة وتحكم مُشفّر عبر المنفذ 6767. ويُذكر أن SantaStealer قادر على تجاوز تقنية تشفير التطبيقات المرتبطة بـ Chrome (App-Bound Encryption) التي تم تقديمها في يوليو 2024.
قدرات محدودة على الرغم من التسويق
يُسوق مطورو SantaStealer برمجيتهم على أنها متقدمة وقادرة على التهرب الكامل من اكتشاف برامج مكافحة الفيروسات. ومع ذلك، تشير الأبحاث التي أجراها خبراء Rapid7 إلى أن قدرات SantaStealer لا تتماشى مع هذه المطالبات. فالعينات الحالية سهلة التحليل، وتكشف عن رموز وسلاسل نصية قابلة للقراءة، مما يشير إلى تطوير مُسرّع وضعف في الإجراءات الأمنية.
أشار ميلان سبينكا من Rapid7 إلى أن “قدرات التحليل والمكافحة ضد التجسس التي يتم الإعلان عنها في لوحة التحكم على الويب تظل أساسية وهاوية، حيث أن الحمولة الطرف الثالثة لفك تشفير Chrome فقط هي التي يتم إخفاؤها إلى حد ما.”
تتميز لوحة تحكم تابع SantaStealer بواجهة مصقولة، مما يسمح للمشغلين بتخصيص البنيات واختيار سرقة كل شيء أو التركيز فقط على محفظات العملات المشفرة وبيانات المتصفح. توفر الخيارات أيضًا إمكانية استبعاد دول الكومنولث المستقلة (CIS) وتأخير التنفيذ.
في الوقت الحالي، لم ينتشر SantaStealer على نطاق واسع، ولا تزال طريقة توزيعه غير واضحة. ومع ذلك، تشير التقارير الحديثة إلى تفضيل حملات ClickFix، حيث يتم خداع الضحايا للصق أوامر ضارة في وحدات التحكم الخاصة بنظام التشغيل Windows. بالإضافة إلى ذلك، لا تزال مسارات التوزيع الأخرى الشائعة قيد الاستخدام، مثل رسائل البريد الإلكتروني الاحتيالية والبرامج المقرصنة والملفات التي يتم تنزيلها من خلال شبكات التورنت والإعلانات الخبيثة والتعليقات الخادعة على YouTube.
ينصح خبراء الأمن مستخدمي العملات المشفرة بالبقاء في حالة تأهب وتجنب الروابط والمرفقات غير المعروفة. ويشددون على أهمية توخي الحذر عند تحميل البرامج أو الإضافات من مصادر غير موثوقة.
كتب سبينكا: “تجنب تشغيل أي نوع من التعليمات البرمجية غير المُتحققة من مصادر مثل البرامج المقرصنة، وغش الألعاب، والإضافات غير المُتحققة، والملحقات.” يتعلق الأمر أيضاً بتعزيز الوعي بالأمن السيبراني وحماية المعلومات الشخصية.
من المتوقع أن يستمر مطورو البرامج الضارة في تحسين SantaStealer واستكشاف طرق جديدة لتوزيعه. يجب على المستخدمين ومقدمي خدمات الأمن السيبراني مراقبة التطورات المتعلقة بهذه البرمجية الخبيثة والعمل بشكل استباقي للتخفيف من المخاطر المحتملة. من المُحتمل أيضاً، أن نرى المزيد من برامج التجسس المماثلة التي تستهدف العملات الرقمية في الأشهر القادمة، مما يتطلب يقيظاً مستمراً وتحديثاً لإجراءات الحماية.