شرح برمجية Stealka الخبيثة: كيف تستنزف التعديلات المزيفة للألعاب ونسخ البرامج المقرصنة محافظ العملات المشفرة

سلالة برمجيات خبيثة جديدة تُعرف باسم Stealka تقوم بسرقة العملات المشفرة عبر التظاهر بأنها غش للألعاب، ونسخ مكسورة الحماية للبرامج، وتعديلات شهيرة، مستخدمة منصات تحميل موثوقة ومواقع مزيفة لخداع المستخدمين كي يصبّوا العدوى في أجهزتهم بأنفسهم.

يشير باحثو الأمن السيبراني في Kaspersky إلى أن برمجية التجسس القائمة على ويندوز منتشرة بنشاط منذ نوفمبر على الأقل، مستهدفة بيانات المتصفحات، والتطبيقات المثبتة محلياً، ومحافظ العملات المشفرة المستندة إلى المتصفح وسطح المكتب.

بعد تنفيذها، تستطيع Stealka الاستيلاء على الحسابات عبر الإنترنت، واستنزاف أرصدة العملات المشفرة، وفي بعض الحالات تثبيت مُعدِّن عملات رقمية لزيادة الاستفادة المالية من الأنظمة المصابة.

تنتشر عبر غش الألعاب والبرامج المقرصنة

بحسب تحليل Kaspersky، تنتشر Stealka بشكل أساسي من خلال ملفات يقوم المستخدمون بتحميلها وتشغيلها طواعية.

غالباً ما تتخفى البرمجية في صورة نسخ مكسورة الحماية من برمجيات تجارية أو كغش وتعديلات لألعاب شهيرة، ويتم توزيعها عبر منصات مستخدمة على نطاق واسع مثل GitHub وSourceForge وSoftpedia وGoogle Sites.

في عدة حالات، قام المهاجمون برفع ملفات خبيثة إلى مستودعات شرعية، معتمدين على مصداقية هذه المنصات لتقليل الشك.

بالتوازي، رصد الباحثون مواقع مزيفة مصممة باحتراف تعرض برامج مقرصنة أو سكربتات للألعاب.

غالباً ما تُظهر هذه المواقع نتائج فحص مزيفة لمضادات الفيروسات لإعطاء انطباع بأن التحميلات آمنة.

في الواقع، تعمل أسماء الملفات وأوصاف الصفحات فقط كطُعم؛ إذ يحتوي المحتوى الذي يتم تحميله بشكل متكرر على حمولة برمجية التجسس نفسها.

البرمجية تستهدف المتصفحات والمحافظ والتطبيقات المحلية

بعد التثبيت، تركز Stealka بشكل كبير على المتصفحات المبنية على Chromium وGecko، ما يعرّض مستخدمي أكثر من مئة متصفح لسرقة البيانات.

Also Read: ING Flags Deep Shift As China, India And Brazil Reduce Billions Of U.S. Treasury Holdings In A Single Month

تستخرج البرمجية بيانات تسجيل الدخول المحفوظة، وبيانات الإكمال التلقائي، وملفات تعريف الارتباط (الكوكيز)، ورموز الجلسات، مما يسمح للمهاجمين بتجاوز التحقق بخطوتين والاستيلاء على الحسابات دون كلمات مرور.

تُستخدم الحسابات المخترقة بعد ذلك لنشر البرمجية الخبيثة بشكل أوسع، بما في ذلك داخل مجتمعات الألعاب.

تستهدف Stealka أيضاً إضافات المتصفح المرتبطة بمحافظ العملات المشفرة، ومديري كلمات المرور، وأدوات المصادقة. وقد حدد الباحثون محاولات لجمع بيانات من إضافات مرتبطة بمحافظ كبرى مثل MetaMask وTrust Wallet وPhantom، بالإضافة إلى خدمات كلمات المرور والمصادقة بما فيها Bitwarden وAuthy وGoogle Authenticator.

إلى جانب المتصفحات، تجمع البرمجية ملفات الإعدادات والبيانات المحلية من عشرات تطبيقات سطح المكتب.

يشمل ذلك المحافظ المستقلة للعملات المشفرة التي قد تخزن مفاتيح خاصة مشفرة وبيانات وصفية عن المحافظ، وتطبيقات المراسلة، وعملاء البريد الإلكتروني، وبرامج VPN، وأدوات تدوين الملاحظات، ومُطلقات الألعاب.

لماذا يُعد الأمر مهماً؟

يتيح الوصول إلى هذه المعلومات للمهاجمين سرقة الأموال، وإعادة تعيين بيانات اعتماد الحسابات، وإخفاء أنشطة خبيثة إضافية.

تجمع البرمجية كذلك معلومات عن النظام وتلتقط لقطات شاشة للأجهزة المصابة.

حذّرت Kaspersky من أن حملة Stealka تسلط الضوء على التداخل المتزايد بين القرصنة البرمجية، وتحميل المحتوى المتعلق بالألعاب، والجرائم المالية الإلكترونية، داعية المستخدمين إلى تجنّب مصادر البرامج غير الموثوقة والتعامل مع الغش والتعديلات والنسخ المكسورة الحماية كملفات عالية الخطورة.

Read Next: Bitcoin's Hidden Vulnerability Exposed: How Quantum Computers Could Steal Billions Before We're Ready