يهاجم برنامج StaSer المستخدمين لاستخراج المستندات الحساسة وبيانات الاعتماد وبيانات المحفظة

 

 

 ظهر برنامج خبيث جديد لسرقة المعلومات يُدعى StaSer، ليُشكّل تهديدًا خطيرًا لمستخدمي نظام ويندوز حول العالم.

يتم تسويق هذه الأداة الخبيثة، التي تُقدّم كخدمة، بقوة عبر قنوات تيليجرام ومنتديات القرصنة السرية، مع خطط لإطلاقها الكامل قبل نهاية عام 2025.

يمثل هذا البرنامج الخبيث نسخة مُعاد تسميتها من برنامج BSter السابق، مما يعكس الطبيعة المتطورة لجرائم الإنترنت والتطوير المستمر لأدوات سرقة متطورة مصممة لجمع معلومات المستخدمين الحساسة.

 يتمتع برنامج السرقة بقدرات واسعة ومنظمة جيداً. يقوم برنامج StaSer بجمع واستخراج المستندات الحساسة، وبيانات اعتماد المستخدم، وبيانات محافظ العملات المشفرة، والمعلومات من مجموعة واسعة من التطبيقات.

 يعمل هذا البرنامج الخبيث بالكامل في الذاكرة لتجنب الكشف عنه عبر الملفات، وهي ميزة بالغة الأهمية للتحايل على حلول الأمان التقليدية.

بعد جمع البيانات المسروقة، تُضغط وتُقسّم إلى أجزاء يسهل التعامل معها بحجم 10 ميجابايت، ثم تُرسل إلى خادم تحكم عبر اتصالات HTTP غير مشفرة.

 يزعم المطورون أن البرامج الضارة مكتوبة بالكامل بلغة C مع محرك متعدد الأشكال مخصص وقدرات كاملة لمكافحة الكشف.

  عينات من برنامج StaSer الخبيث، غير المشفرة وغير المنقحة، والتي تُتيح نظرة معمقة على مستوى تطور هذا البرنامج الخبيث. 

تحليلهم عن ثغرات أمنية تشغيلية خطيرة في أسلوب الجهات المُهاجمة.

 إصابة الذاكرة وسرقة بيانات اعتماد المتصفح

 البرمجية الخبيثة بعد العثور على ملف تنفيذي لنظام ويندوز قام بتفعيل قواعد الكشف العامة لسرقة المعلومات المرتبطة عادةً بعائلة برامج سرقة المعلومات "راكون".

  التحليل الأولي لملف DLL ذي 64 بت، يحتوي على أكثر من 500 رمز مُصدَّر بأسماء وصفية للغاية، مثل "payload_main" و"check_antivm"، عن قدرات البرمجية الخبيثة في سرقة بيانات الاعتماد.

يُظهر التنفيذ التقني تصميمًا معياريًا، حيث يقوم برنامج StaSer بالكشف عن الأجهزة الافتراضية قبل تنفيذ حمولته الرئيسية.

 يتمثل أحد الجوانب المعقدة بشكل خاص في سرقة بيانات اعتماد المتصفح من المتصفحات المبنية على لغة Chm عن طريق تجاوز تشفير التطبيق.

يحقق البرنامج الخبيث ذلك من خلال تضمين أداة متخصصة تُسمى CEleor وتشغيلها، والتي تستخدم تقنية تفريغ العمليات الانعكاسي المباشر القائمة على استدعاءات النظام لحقن التعليمات البرمجية في عمليات المتصفح الشرعية.

تتيح هذه التقنية للمهاجم فك تشفير مفاتيح تشفير التطبيق والوصول إلى بيانات الاعتماد المخزنة دون إثارة الشكوك فورًا.

تُضغط البيانات المسروقة في الذاكرة وتُرسل عبر بروتوكول HTTP غير المشفر إلى خوادم تحكم مُبرمجة مسبقًا على المنفذ 6767.

 

تتراوح أسعار البرامج الضارة كخدمة من 175 دولارًا شهريًا للوظائف الأساسية إلى 300 دولار للميزات المتميزة، بما في ذلك خيارات التنفيذ المخصصة وقدرات ربط الملفات.

ينبغي على المتخصصين في مجال الأمن أن يظلوا متيقظين تجاه مرفقات البريد الإلكتروني غير المعروفة وروابط التنزيل المشبوهة التي قد تؤدي إلى هذا التهديد الناشئ.