حملات هجوم سرقة PXA
يُحذر باحثو الأمن السيبراني من موجة جديدة من الحملات التي تُروّج لبرمجية PXA Stealer، وهي برمجية خبيثة مبنية على لغة بايثون ومُصممة خصيصًا لسرقة بيانات المستخدمين الحساسة. يُنسب هذا البرنامج المُتطور لسرقة المعلومات إلى مجموعة من مُجرمي الإنترنت الناطقين بالفيتنامية، والذين يستغلونه ضمن نظام بيئي سري قائم على الاشتراكات. ما يُميز هذه الحملة هو تكاملها مع واجهات برمجة تطبيقات تيليجرام، مما يُتيح تحقيق الدخل من البيانات المسروقة بسرعة، وإعادة بيعها، وإعادة استخدامها بأقل تدخل بشري.
جدول المحتويات
انتشار العدوى وسرقة البيانات المثيرة للقلق
يمتد نطاق PXA Stealer على نطاق واسع. تم اختراق أكثر من 4000 عنوان IP فريد في 62 دولة. تشمل المناطق المستهدفة الولايات المتحدة وكوريا الجنوبية وهولندا والمجر والنمسا.
حجم البيانات المسروقة كبير:
- أكثر من 200000 كلمة مرور فريدة
- مئات من سجلات بطاقات الائتمان
- أكثر من 4 ملايين ملف تعريف ارتباط للمتصفح
رُصدت حملات PXA Stealer لأول مرة في نوفمبر 2024، واستهدفت المؤسسات الحكومية والتعليمية في أوروبا وآسيا. ومنذ ذلك الحين، تطورت لاستخراج مجموعة واسعة من البيانات، بما في ذلك:
- كلمات المرور وبيانات التعبئة التلقائية من المتصفحات
- بيانات اعتماد محفظة العملات المشفرة
- تكوينات عميل VPN
- معلومات من أدوات CLI السحابية وDiscord
- أسهم الشبكة المتصلة والمنصات المالية
تيليجرام: المركز العصبي للعملية
يتم توجيه البيانات المسروقة عبر قنوات تيليجرام، حيث تُخزَّن وتُراقَب. يستخدم PXA Stealer مُعرِّفات الروبوتات (TOKEN_BOT) لربط الروبوتات بمُعرِّفات الدردشة المقابلة لها (CHAT_ID). تعمل هذه القنوات كمستودعات للمعلومات المسروقة ومركز اتصال لإشعارات الجهات الفاعلة في مجال التهديدات.
تُنقل هذه البيانات المسروقة إلى منصات غير مشروعة مثل شيرلوك، وهو سوق إلكتروني يبيع سجلات السارقين. هنا، يستطيع مجرمو الإنترنت الآخرون شراء البيانات لتنفيذ عمليات سرقة عملات مشفرة أو اختراق شبكات الشركات، مما يُغذي سلسلة توريد سريعة النمو لمجرمي الإنترنت.
تكتيكات التجارة المتقدمة والتهرب
أظهرت الحملات الأخيرة في عام ٢٠٢٥ تقدمًا تقنيًا ملحوظًا. يستخدم المشغلون الآن تقنيات التحميل الجانبي لملفات DLL واستراتيجيات التدريج متعددة الطبقات لتجنب الكشف وإعاقة التحليل الجنائي. تتضمن إحدى الحيل الخادعة في سلسلة الهجمات عرض مستند وهمي، مثل إشعار مزيف بانتهاك حقوق النشر، بينما تستمر العمليات الخبيثة بهدوء في الخلفية.
من أهم التحديثات في الإصدارات الأحدث من PXA Stealer قدرته على استخراج ملفات تعريف الارتباط المشفرة من متصفحات Chromium. يتم ذلك عن طريق حقن ملف DLL في العمليات النشطة، متجاوزًا بذلك حماية التشفير على مستوى التطبيق.
التقنيات الرئيسية وراء العملية
وتظهر الحملة عدة تكتيكات محددة:
الدفاعات المضادة للتحليل : مصممة لتأخير الكشف وإحباط جهود الهندسة العكسية.
تسليم الحمولة على مراحل : سلاسل عدوى معقدة باستخدام مكتبات DLL المحملة جانبيًا.
المحتوى الوهمي : ملفات غير ضارة تستخدم لإخفاء النشاط الضار.
البنية التحتية C2 المعتمدة على Telegram : خط أنابيب اتصالات معزز يستخدم للقيادة والتحكم واستخراج البيانات.
الصورة الأكبر: سوق سرية متنامية
ما بدأ كأداة لسرقة بايثون تطور الآن إلى عملية سيبرانية متطورة ومتعددة المراحل. ليس البرمجيات الخبيثة وحدها هي المتطورة، بل المنظومة المحيطة بها، مثل أسواق تيليجرام، وقنوات إعادة بيع البيانات الآلية، وقنوات تحقيق الدخل المنظمة.
تُسلّط هذه التطورات الضوء على كيف أصبحت الجرائم الإلكترونية الحديثة أكثر مرونةً وقابليةً للتوسع، وتشابكًا وثيقًا مع أدوات الاتصال المشفرة. ويُعدّ PXA Stealer مثالًا بارزًا على كيفية تكييف الجهات الفاعلة في مجال التهديدات لأدواتها وأساليبها لتظلّ في طليعة الكشف وتعظيم الأرباح في اقتصاد الجريمة الإلكترونية اليوم.
