اكتشفت شركة «كاسبرسكي» أداة تجسس جديدة ومتقدمة، تسمى «StealerBot»، تستهدف كيانات وشركات في الشرق الأوسط وإفريقيا، وتقود هذه الحملة مجموعة تهديدات معروفة باسم «SideWinder»

وحذر الباحثون وفريق التحليل العالمي بـ كاسبرسكي من أن حملة التجسس StealerBot قائلين إنها لا تزال نشطة بشكل عام، وتستهدف ضحايا آخرين، وتم الكشف عن ذلك في معرض جيتكس جلوبال 2024.

وأوضحت كاسبرسكي استخدام مجموعة SideWinder، أداة جديدة، تسمى StealerBot، مصممة لعمليات التجسس، وتتميز بقدرتها على الاختباء داخل أنظمة الضحايا آثار ظاهرة.

وكشف الباحثون من فريق GReAT في كاسبرسكي أن StealerBot، هي أداة تجسس خفية، تسمح لمصادر التهديد بالتجسس على الأنظمة مع تفادي كشفها بسهولة.

وتعمل أداة تجسس «StealerBot» من خلال هيكل معياري، فهي مصممة لأداء وظيفة محددة، وبصورة لافتة، لا تظهر هذه المكوّات بهيئة ملفات على القرص التخزيني للنظام، وتتبعها أمر صعب.

ويوجد في أداة StealerBot، ما يُسمى «المنسق»، ويتولى الإشراف على عملية التجسس، ويتواصل مع خادم القيادة والسيطرة العائد لمصدر التهديد، ويتكفل بتنسيق تنفيذ وحداته المختلفة.

وقالت شركة كاسبرسكي إن أداة StealerBot، قامت بمجموعة من الأنشطة الخبيثة، التي من بينها « تثبيت برمجيات خبيثة، اعتراض بيانات اعتماد بروتوكول سطح المكتب البعيد، واستخراج الملفات، أخذ لقطات للشاشة، تسجيل نقرات لوحة المفاتيح، وسرقة كلمات المرور من المتصفحات».

يذكر أن كاسبرسكي، أبغلت عن أنشطة مجموعة SideWinder، أول مرة عام 2018، ويعرف عن هذه المجموعة اعتمادها على رسائل البريد الإلكتروني للتصيد الاحتيالي.

تحتوي هذه الرسائل على مستندات خبيثة، تستغل ثغرات مجموعة برامج Office، وتلجأ إلى استعمال ملفات LNK وHTML وHTA المرفقة داخل الأرشيف.

تتضمن مستندات SideWinder الخبيثة على معلومات، حصلت عليها من مواقع إلكترونية عامة، الأمر، الذي يستخدم في إغراء الضحية لفتح الملف والتوهم بكونه مشروع.

ولاحظت كاسبرسكي توظيف العديد من عائلات البرمجيات الخبيثة ضمن حملات موازية، بما يشمل: أدوات الوصول عن بعد (RAT)، المخصصة والمعدلة منها، والمتاحة للجمهور على حد سواء.