مجرمون سيبرانيون يسرقون بيانات شخصية لقراء كتب تركية وعربية

كشف فريق البحث والتحليل العالمي (GReAT) في شركة «كاسبرسكي» عن حملة برمجيات خبيثة تستهدف قرّاء الكتب الإلكترونية في تركيا، ومصر، وبنجلاديش، وألمانيا، حيث يعمد المجرمون السيبرانيون إلى إخفاء برمجيات خبيثة متطورة على شكل كتب تركية وعربية من الأكثر مبيعاً، ويخدعون مئات القراء لتحميل ملفات تسرق كلمات المرور، وبيانات محافظ العملات المشفرة، ومعلومات حساسة أخرى من حواسيبهم.رصدت الشركة حملة برمجيات خبيثة كخدمة (MaaS)، تستخدم أداة جديدة تدعى LazyGo، وهي برنامج مطور بلغة البرمجة Go، لتحميل برامج متعددة لسرقة المعلومات. تستهدف الحملة القراء الذين يبحثون عن كتب شائعة مثل الترجمة التركية لكتاب «درَجاتُ السُّلَّمِ التِّسعُ والثلاثون» لمؤلفه الإسكتلندي جون بوكان، فضلاً عن نصوص وكتب عربية في الشعر، والفولكلور، والطقوس الدينية. ولا تقتصر الكتب الإلكترونية المزيفة على مجال واحد، بل تغطي اهتمامات متنوعة منها إدارة الأعمال مثل الكتاب التركي «İşletme Yöneticiliği» لمؤلفه تامر كوشيل، والرواية المعاصرة والنقد الأدبي العربي مثل كتاب «الحركة الأدبية واللغوية في سلطنة عمان».ملفات خبيثةتتخفى الملفات الخبيثة على شكل كتب إلكترونية بصيغة PDF، لكنها برامج تنفيذية لها أيقونات مشابهة لملفات PDF، فعندما يحمل المستخدمون هذه الكتب المزيفة ويفتحونها، تبدأ أداة التحميل LazyGo بنشر برامج سرقة المعلومات مثل StealC وVidar وArechClient2. واستطاع باحثو «كاسبرسكي» رصد 3 نسخ مختلفة من أداة LazyGo، إذ تستخدم كل واحدة منها تقنيات تخفٍ مختلفة مثل إلغاء ارتباط واجهة برمجة التطبيقات (API)، وتخطي واجهة فحص البرمجيات الخبيثة (AMSI)، وتعطيل أداة تتبع الأحداث في نظام ويندوز (ETW)، والكشف عن الأجهزة الافتراضية.المعلومات المسروقةتتضمن المعلومات التي يسرقها المخترقون كلاً مما يلي:بيانات المتصفح: تتضمن كلمات المرور المحفوظة، وملفات تعريف الارتباط، ومعلومات التعبئة التلقائية، وسجل التصفح في متصفحات كروم، وإيدج، وفايرفوكس، وغيرها.الأصول المالية: تتضمن ملحقات محافظ العملات المشفرة، وملفات التكوين، وبيانات التخزين.بيانات تسجيل المطور: تشمل بيانات حساب منصة AWS، ورموز Azure CLI، ورموز منصة Microsoft Identity Platform.منصات التواصل: تتضمن رموز منصة Discord، وبيانات حساب Telegram Desktop، وملفات جلسة Steam.معلومات النظام: تتضمن مواصفات الجهاز، والبرامج المثبتة، والعمليات الجارية.يتعرض الضحايا الذين أصيبت أجهزتهم ببرمجية ArechClient2/SectopRAT إلى أخطار إضافية، لا سيما حينما يحصل المخترقون على تحكم كامل عن بُعد في الأجهزة المخترقة.يعلق على هذه المسألة يوسف عبد المنعم، وهو باحث أمني رئيسي في فريق البحث والتحليل العالمي لدى الشركة: «تكمن خطورة هذه الحملة في استخدامها نموذج البرمجيات الخبيثة كخدمة، واعتمادها على الهندسة الاجتماعية المخصصة والدقيقة في الاستهداف. تبين النسخ المتغيرة لأداة LazyGo وتقنيات التخفي المتطورة، أنّ هذه الحملة ليست جريمة سيبرانية عشوائية، بل عملية منظمة غايتها جمع بيانات الحسابات من ضحايا كثيرين، لذلك ينبغي للمؤسسات توخي الحذر، فالرموز المسروقة من المطورين وبيانات الحسابات السحابية، تتيح للمجرمين وصولاً عميقاً إلى بنية الشركات التحتية»ووفقاً لقراءات الشركة تبين أنّ هذه الحملة طالت أهدافاً متنوعة منها جهات حكومية، ومؤسسات تعليمية، ومؤسسات خدمات تكنولوجيا المعلومات، وقطاعات أخرى.