في عالم يتزايد فيه الاعتماد على التكنولوجيا الرقمية، تبرز الهجمات الإلكترونية كواحدة من أخطر التهديدات التي تواجه الأفراد والمؤسسات على حد سواء. ومن بين هذه التهديدات، تبرز البرامج الضارة (Malware) كعنصر أساسي في استهداف أنظمة التشغيل والبيانات الشخصية للمستخدمين. أحد هذه البرامج الضارة، المعروف باسم (Snake Keylogger)، قد شهد تطورًا جديدًا يستهدف مستخدمي ويندوز في دول مثل الصين وتركيا وإندونيسيا وتايوان وإسبانيا.

تحليل عميق للهجمات

كشف مختبر FortiGuard التابع لشركة Fortinet أن النسخة الجديدة من (Snake Keylogger) كانت وراء أكثر من 280 مليون محاولة اختراق محبطة حول العالم منذ بداية العام. هذا البرنامج الضار، الذي يُعتمد غالبًا في رسائل البريد الإلكتروني التصيدية، مصمم لسرقة المعلومات الحساسة من متصفحات الويب الشائعة مثل كروم (Chrome)، و إيدج (Edge)، وفايرفوكس (Firefox) عبر تسجيل ضغطات المفاتيح، وجمع بيانات الاعتماد، ومراقبة الحافظة.

ما يميز الهجمات الأخيرة هو استخدامها لغة البرمجة (AutoIt) لتنفيذ الحمولة الرئيسية، مما يمنح هذه الهجمات القدرة على تجاوز آليات الكشف التقليدية. هذا الأسلوب لا يعقد فقط التحليل الساكن للتهديدات، بل يمكنه من محاكاة سلوك ديناميكي يشبه أدوات الأتمتة الآمنة.

آثار وآليات العمل

بمجرد تشغيل البرنامج الضار، يقوم بإسقاط نسخة من نفسه إلى ملف يُسمى “ageless.exe” في مجلد “%Local_AppData%\supergroup”. كما يُسقط ملفًا آخر باسم “ageless.vbs” في مجلد بدء تشغيل ويندوز، مما يضمن تشغيل البرنامج الضار تلقائيًا مع كل إعادة تشغيل للنظام. بفضل هذا النهج، يتمكن (Snake Keylogger) من الحفاظ على وجوده في النظام المخترق واستئناف أنشطته الضارة حتى لو تم إنهاء العملية المرتبطة به.

تتوج سلسلة الهجوم بحقن الحمولة الرئيسية في عملية .NET شرعية مثل “regsvcs.exe” باستخدام تقنية تُعرف باسم (Process Hollowing)، مما يسمح للبرنامج الضار بإخفاء وجوده داخل عملية موثوقة وتجنب الكشف.

التطورات الحديثة والتوجهات المستقبلية

يأتي هذا التطور في الوقت الذي قامت فيه شركة CloudSEK بتفصيل حملة تستغل البنى التحتية المخترقة المرتبطة بالمؤسسات التعليمية لنشر ملفات (LNK) الضارة التي تظهر كوثائق (PDF) لتنفيذ برنامج (Lumma Stealer) الضار. تستهدف هذه الحملة قطاعات مثل المالية والرعاية الصحية والتكنولوجيا والإعلام، وتؤدي إلى سرقة كلمات المرور وبيانات المتصفح والمحافظ الرقمية.

في الأسابيع الأخيرة، لوحظ توزيع برامج السرقة عبر ملفات (JavaScript) المشفرة لجمع مجموعة واسعة من البيانات الحساسة من أنظمة ويندوز المخترقة ونقلها إلى روبوت (Telegram) يديره المهاجم.

دعوة للتفاعل والنقاش

في ظل هذه التهديدات المتزايدة، كيف يمكن للمؤسسات والأفراد تعزيز دفاعاتهم الإلكترونية لحماية بياناتهم الحساسة؟ وما هي الاستراتيجيات التي يمكن اتباعها لمواجهة هذا النمو المتسارع في تطور البرامج الضارة؟ نرحب بمشاركتكم وآرائكم على فيسبوك وتويتر.