متى بدأت حملة البرامج الضارة هذه؟

كانت حملة البرامج الضارة نشطة منذ يونيو 2025، وقد اخترقت أكثر من 90 جهازاً منذ انطلاقها.

ما نوع الملف المستخدم لتوصيل البرنامج الضار؟

يُوصَّل البرنامج الضار عبر ملفات مثبّت MSI، وهو تنسيق حزمة Windows القياسي الذي يستخدمه كثير من موردي البرامج الشرعيين.

ماذا يفعل البرنامج الضار بمجرد إصابته للنظام؟

ينشر البرنامج الضار مجموعة مؤلفة من ثلاث وحدات تُجري استطلاعاً للنظام، وتُفعّل مسجّل مفاتيح لالتقاط بيانات الاعتماد ورموز المصادقة الثنائية، وتسرق كلمات المرور المخزّنة في المتصفح وملفات تعريف الارتباط الخاصة بالجلسات وبيانات الملء التلقائي.

لماذا يُعدّ تضمين بيانات اعتماد SSH ورموز GitLab داخل المثبّت خطراً أمنياً؟

بيانات الاعتماد المُضمَّنة داخل ملفات المثبّت قابلة للقراءة من قِبل أي شخص يفحص الملف الثنائي، مما قد يكشف للمدافعين والمحققين عن خوادم القيادة والتحكم ومستودعات الأكواد الخاصة بالمهاجمين.

هل يكفي استخدام محفظة أجهزة للحماية من هذا النوع من الهجمات؟

وفقاً للمقال، لا يكفي الاعتماد على محفظة أجهزة وحدها كحماية من هذه الحملة، لأن البرنامج الضار يستهدف بيانات الاعتماد وملفات تعريف ارتباط الجلسات وضربات المفاتيح التي يمكنها تجاوز المصادقة دون الحاجة إلى الوصول المباشر إلى المحفظة.

برامج ضارة في ملفات MSI تستهدف متداولي العملات المشفرة منذ يونيو 2025

حملة برامج ضارة متطورة اكتُشفت تستهدف متداولي العملات المشفرة، وقد كانت نشطة بهدوء منذ يونيو 2025، مستخدمةً خدعةً بسيطة في مظهرها لكنها فعّالة: تضمين بيانات اعتماد SSH ورموز GitLab مباشرةً داخل ملفات مثبّت MSI. وقد اخترقت العملية أكثر من 90 جهازاً حتى الآن، وهي مصمَّمة تحديداً للاستيلاء على حسابات تداول العملات المشفرة، من خلال الجمع بين استطلاع النظام وتسجيل ضربات المفاتيح وسرقة بيانات المتصفح في سلسلة هجوم واحدة منسّقة. بالنسبة لكل من يحتفظ بأصول رقمية أو يتداولها بنشاط، تكشف آليات هذه الحملة سبب عدم كفاية الاعتماد على محفظة أجهزة وحدها كحماية.

كيف تعمل حملة مثبّت MSI: الاستطلاع وتسجيل المفاتيح وسرقة المتصفح

يبدأ الهجوم عندما يُشغّل الهدف ما يبدو أنه مثبّت MSI شرعي، وهو تنسيق حزمة Windows القياسي الذي يستخدمه عدد لا يحصى من موردي البرامج. وبمجرد تشغيله، ينشر المثبّت مجموعة برامج ضارة مؤلفة من ثلاثة وحدات تعمل بالتسلسل.

تُجري الوحدة الأولى استطلاعاً للنظام، إذ ترسم خريطة لتهيئة الجهاز المصاب وبيئته الشبكية والبرامج المثبّتة عليه. تمنح هذه المرحلة المهاجمَ صورةً واضحة عمّا يتعامل معه قبل الشروع في اختراق أعمق. تُفعّل الوحدة الثانية مسجّل المفاتيح، الذي يلتقط كل ما يكتبه الضحية، بما في ذلك بيانات تسجيل الدخول إلى منصات التداول ورموز المصادقة الثنائية وعبارات مرور المحافظ. أما الوحدة الثالثة فتستهدف البيانات المخزّنة في المتصفح، إذ تستخرج كلمات المرور المحفوظة وملفات تعريف الارتباط الخاصة بالجلسات وبيانات الملء التلقائي، التي يمكن استخدامها لتجاوز المصادقة على المنصات المالية دون الحاجة إلى كلمة مرور الحساب مباشرةً.

والجمع بين هذه الوحدات مقصود. يلتقط تسجيل المفاتيح بيانات الاعتماد أثناء إدخالها، فيما تسرق الوحدة الثالثة بيانات الاعتماد المخزّنة. ومعاً، يتركان ثغرات نادرة.

لماذا تُعدّ بيانات الاعتماد المُضمَّنة مسبقاً خطراً منظومياً

ما يجعل هذه الحملة لافتةً بشكل خاص من منظور البحث الأمني ليس فقط ما تفعله بالضحايا، بل ما تكشفه عن المهاجمين أنفسهم. إذ يعني تضمين بيانات اعتماد SSH ورموز GitLab مُضمَّنة مسبقاً داخل المثبّت أن البرنامج الضار يحمل رابطاً مباشراً وثابتاً يعود إلى بنيته التحتية الخلفية.

يُعدّ هذا إخفاقاً في الأمن التشغيلي من جانب المهاجمين، وهو ليس حكراً على هذه المجموعة. عندما يُضمّن المطوّرون، سواء كانوا يبنون برامج شرعية أو أدوات خبيثة، رموز المصادقة داخل ملفات مُجمَّعة أو مُحزَّمة، تصبح تلك البيانات قابلة للقراءة من قِبل أي شخص يفحص الملف الثنائي. بالنسبة للمدافعين، يمكن لبيانات الاعتماد المُضمَّنة في البرامج الضارة أن تكشف عن خوادم القيادة والتحكم ومستودعات الأكواد، بل وحتى سير عمل التطوير الداخلي لجهة التهديد. أما بالنسبة للضحايا، فالخلل نفسه الذي قد يساعد المحققين على تتبع المهاجمين لا يوفر أي حماية بعد وقوع الاختراق.

يعكس هذا النمط اتجاهات أوسع في البرامج الضارة التي تستهدف السحابة. كما تناولنا في تقارير عن برنامج PCPJack الضار الذي يستغل بيانات اعتماد السحابة، تتعامل أطر سرقة بيانات الاعتماد بشكل متزايد مع الرموز غير المؤمَّنة بشكل صحيح باعتبارها فرصاً سهلة المنال، سواء انتمت تلك الرموز إلى الضحايا أو، في هذه الحالة، إلى المهاجمين أنفسهم.

من يُستهدف وكيف يُميَّز متداولو العملات المشفرة

تركيز الحملة على متداولي العملات المشفرة ليس مصادفة. إذ تمتلك حسابات العملات المشفرة ملفاً جذاباً بشكل فريد للمهاجمين: فهي كثيراً ما تحتفظ بقيمة سائلة ضخمة، والمعاملات لا يمكن عكسها بمجرد بثّها إلى سلسلة الكتل، كما يستخدم كثير من المتداولين واجهات قائمة على المتصفح لإدارة مراكزهم عبر منصات تداول متعددة في آنٍ واحد.

هذه النقطة الأخيرة بالغة الأهمية. إذ يعني التداول عبر المتصفح أن الجلسات وملفات تعريف الارتباط وبيانات الاعتماد المحفوظة في المتصفح تُشكّل مساراً مباشراً للوصول إلى الحساب. يستطيع المهاجم الذي يلتقط ملف تعريف ارتباط جلسة صالحاً من متصفح المصادقةَ على منصة التداول في أغلب الأحيان دون تشغيل مطالبات كلمة المرور أو المصادقة الثنائية، لأن الجلسة نفسها مصادق عليها بالفعل. وتغطي مكوّنة مسجّل المفاتيح بعد ذلك أي سيناريو يسجّل فيه المتداول الخروج ثم يعود للدخول، إذ تلتقط بيانات الاعتماد الجديدة في الوقت الفعلي.

مع تأكيد اختراق أكثر من 90 جهازاً بالفعل، يوحي حجم الحملة بعملية مستهدفة ومستمرة، لا بنهج الإطلاق العشوائي. المتداولون الذين نزّلوا برامج من مصادر غير رسمية أو غير موثّقة منذ يونيو 2025 هم الأكثر عرضةً للخطر.

كيف تُقلّل شبكات VPN ومديرو بيانات الاعتماد وصحة المتصفح من سطح الهجوم

لا تُلغي أداة واحدة الخطر الذي تمثّله هذه الحملة، غير أن ممارسات عدة تُقلّص التعرّض بصورة ملموسة.

لا تمنع شبكة VPN تنفيذ البرامج الضارة بمجرد وجودها على الجهاز، لكنها تُقلّص خطر اعتراض حركة المرور ويمكنها تحديد الرؤية على مستوى الشبكة التي يكتسبها المهاجم خلال مرحلة الاستطلاع. والأهم من ذلك أن الاستخدام المتسق لشبكة VPN على جميع الأجهزة يُساعد على ترسيخ صحة الشبكة كعادة لا كفكرة لاحقة.

يُعالج مديرو بيانات الاعتماد أحد متجهات الهجوم الجوهرية هنا: كلمات المرور المخزّنة في المتصفح. عندما تُخزَّن بيانات الاعتماد في مدير مشفّر مخصص بدلاً من مخزن كلمات المرور الأصلي في المتصفح، تُسفر سرقة بيانات المتصفح عن معلومات أقل قابليةً للاستخدام. يدعم معظم مديري بيانات الاعتماد أيضاً توليد كلمات مرور فريدة ومعقدة لكل حساب، مما يُقلّص نطاق الضرر في حال التقاط مجموعة واحدة من بيانات الاعتماد.

تُهمّ صحة المتصفح أيضاً. ينبغي للمتداولين النظر في استخدام ملف تعريف متصفح مخصص، أو متصفح منفصل تماماً، حصراً للوصول إلى منصات التداول. لا ينبغي أن يحتوي هذا الملف الشخصي على كلمات مرور محفوظة ولا على إضافات تتجاوز ما هو ضروري للغاية، ويجب مسح ملفات تعريف الارتباط منه بعد كل جلسة. لا يمكن سرقة ملفات تعريف ارتباط الجلسة من جلسة لم تعد موجودة.

أخيراً، يُشكّل انضباط تثبيت البرامج خط الدفاع الأول. تنطوي ملفات MSI المُحصَّلة من خارج مواقع البائعين الرسميين أو متاجر التطبيقات على مخاطر حقيقية. يمكن للتحقق من هاشات الملفات والتدقيق في توقيعات الناشرين والتعامل مع أي مثبّت يطلب تعطيل برامج الأمان باعتباره علامة تحذيرية فورية، أن يحول دون التنفيذ الأولي الذي يُهيئ لكل شيء آخر.

ما الذي يعنيه هذا بالنسبة لك

إن كنت تتداول العملات المشفرة بنشاط أو تحتفظ بأصول رقمية يمكن الوصول إليها عبر واجهة قائمة على المتصفح، فهذه الحملة تحذير مباشر لك. تحمي محافظ الأجهزة الأموال الموجودة على السلسلة، لكنها لا تحمي حسابات التداول، وهذا هو المكان الذي يُصمَّم هذا البرنامج الضار للإضرار به.

ابدأ بمراجعة أماكن وجود بيانات اعتمادك حالياً. إن كانت كلمات مرور منصات التداول الخاصة بك محفوظة في متصفح، فانقلها إلى مدير بيانات اعتماد مخصص وأنشئ كلمات مرور جديدة وفريدة لكل منصة. راجع إضافات متصفحك وأزل كل ما لا تستخدمه بشكل فعلي. افحص سجل تنزيلاتك بحثاً عن أي ملفات MSI تمّ تنزيلها منذ يونيو 2025 من مصادر لا يمكنك التحقق منها.

إن التطور المتصاعد في عمليات سرقة بيانات الاعتماد، من حملات الرموز المُضمَّنة الموصوفة هنا إلى استغلال ثغرات متعددة موثّقة في أطر استهداف السحابة، يجعل صحة بيانات الاعتماد الاستباقية واحدة من أكثر الدفاعات فعاليةً المتاحة للمستخدمين الأفراد. قضاء ساعة في مراجعة إعداداتك اليوم أهون بكثير من معاناة التعافي من استيلاء على حساب غداً.