كاسبرسكي: مجرمون سيبرانيون يستدرجون القرّاء بكتب عربية وتركية مزيفة لسرقة بياناتهم الحساسة
حذّرت كاسبرسكي من حملة سيبرانية متطورة تستغل رواج الكتب التركية والعربية لهدف خبيث يتمثل في سرقة البيانات الشخصية والحساسة من أجهزة المستخدمين. وكشف فريق البحث والتحليل العالمي (GReAT) في الشركة عن عملية احتيالية تستهدف قرّاء الكتب الإلكترونية في تركيا ومصر وبنجلاديش وألمانيا، عبر إخفاء برمجيات خبيثة في ملفات تبدو ككتب من الأكثر مبيعاً.
ووفقاً لكاسبرسكي، يعتمد المهاجمون على نموذج البرمجيات الخبيثة كخدمة (MaaS) مستخدمين أداة تحميل جديدة تدعى LazyGo، وهي أداة مصممة بلغة Go لنشر برمجيات متخصصة في سرقة المعلومات.
وتستهدف الحملة القرّاء الذين يبحثون عن كتب شهيرة، من بينها الترجمة التركية لرواية «درجات السلم التسع والثلاثون» لجون بوكان، في حين تتضمن النسخ العربية نصوصاً في الشعر، والفولكلور، والطقوس الدينية، إلى جانب كتب إدارية وأدبية مثل «إيشلتما يونيتيجيليي» لتامر كوشيل و«الحركة الأدبية واللغوية في سلطنة عمان».
وتتخفى الملفات الخبيثة في صورة كتب PDF وهمية، بينما هي في الحقيقة ملفات تنفيذية تحمل أيقونات مشابهة. وما إن يقوم المستخدم بفتح الملف، حتى تبدأ أداة LazyGo بتنزيل برامج خطيرة مثل StealC وVidar وArechClient2، القادرة على جمع كمّ هائل من البيانات.
وقد رصد الباحثون ثلاث نسخ مختلفة من الأداة، كل منها يعتمد تقنيات تخفٍّ معقدة تشمل إلغاء ربط واجهات برمجة التطبيقات، وتجاوز نظام AMSI، وتعطيل نظام تتبع الأحداث في «ويندوز»، إضافة إلى اكتشاف الأجهزة الافتراضية.
وتشمل البيانات المسروقة:
بيانات المتصفح: كلمات المرور، وملفات الارتباط، وبيانات الملء التلقائي، وسجل التصفح.
الأصول الرقمية: بيانات محافظ العملات المشفرة وملفات الإعداد.
بيانات المطورين: رموز وصول AWS وAzure وحسابات Microsoft Identity.
منصات التواصل: رموز Discord وبيانات Telegram وملفات جلسة Steam.
معلومات النظام: تفاصيل الجهاز والبرامج المثبتة والعمليات النشطة.
وتزداد خطورة الهجوم عند الإصابة ببرمجية ArechClient2/SectopRAT، إذ تمنح المهاجمين القدرة على التحكم الكامل بالجهاز عن بُعد.
وقال يوسف عبد المنعم، الباحث الأمني الرئيسي في فريق GReAT لدى كاسبرسكي: «تكمن خطورة هذه الحملة في استخدامها نموذج البرمجيات الخبيثة كخدمة، واعتمادها على هندسة اجتماعية دقيقة في الاستهداف. فتنوع تقنيات التخفي في أداة LazyGo يثبت أن الحملة منظمة وليست هجوماً عشوائياً، وتهدف إلى جمع بيانات حساسة من عدد كبير من الضحايا. وينبغي للمؤسسات توخي أقصى درجات الحذر، خاصة أن الحسابات السحابية والرموز المسروقة للمطورين قد تمنح المهاجمين وصولاً عميقاً إلى بنية الشركات التحتية».
وأكدت كاسبرسكي أن الحملة لا تزال نشطة، حيث يواصل المهاجمون رفع كتب إلكترونية خبيثة على GitHub ومواقع مخترقة. وتشير البيانات إلى أن الهجمات استهدفت جهات حكومية ومؤسسات تعليمية وشركات تكنولوجيا معلومات وقطاعات أخرى.
وينصح خبراء كاسبرسكي المستخدمين بالتحقق دائماً من مصدر الكتب الإلكترونية قبل تحميلها، وفحص الملفات المشكوك فيها، وضمان تحديث حلول الأمان. كما حقق Kaspersky Premium أداءً استثنائياً في أحدث تقييمات AV-Comparatives بنسبة حماية بلغت 99.99%، ما يؤكد قدرته على التصدي لأكثر الهجمات تعقيداً.