تشهد البرمجيات الخبيثة تصعيداً مقلقاً هذا الأسبوع، مع هجمات تستهدف اللاعبين ومستخدمي Chrome عبر أدوات مزيفة ومثبتات ملوثة.
ما هي أخطر البرمجيات الخبيثة التي ظهرت هذا الأسبوع؟
الموجة الأبرز جاءت عبر 11 حزمة خبيثة نُشرت كأدوات سطر أوامر موجهة لمجتمع الألعاب. هذه الحزم بدت كأنها برامج مفيدة للغش أو البوتات أو لوحات الإدارة، لكنها في الواقع عملت كمرحلة أولى لتنزيل حمولة ضارة إضافية.
وبعد التثبيت، تبدأ العدوى في جلب ملف تنفيذي ثانوي من مسارات خارجية، ثم تفتح الباب أمام أوامر تحكم عن بعد وسحب إعدادات من خدمات سحابية. ووفق متابعة تيكبامين، فإن الخطر هنا لا يتعلق فقط بسرقة البيانات، بل بتحويل الجهاز إلى نقطة تحكم نشطة.
كيف تعمل هذه الأدوات المزيفة؟
- تنتحل صفة أدوات ألعاب أو بوتات شائعة.
- تنزل حمولة ثانية بصيغة تنفيذية بعد تشغيل الأداة.
- تستخدم مفاتيح وصول وإعدادات بعيدة لتفعيل الأوامر.
- ترتبط أحياناً بمعرّف الجهاز لمنع أو السماح بالتشغيل.
- تدعم إرسال لقطات شاشة عبر بوتات تيليجرام في بعض العينات.
كيف استُخدمت أدوات مزيفة لاختراق مستخدمين في أمريكا وأوروبا؟
باحثون رصدوا أيضاً حملة أكثر تطوراً استهدفت مستخدمين في الولايات المتحدة وأوروبا منذ يونيو 2025. المهاجمون استخدموا مثبتات مزورة لتطبيقات معروفة مثل أدوات المطورين، برامج الإدارة التقنية، ومنصات الاجتماعات والتعاون، إضافة إلى تطبيقات ألعاب استهلاكية.
الهدف من ذلك كان زرع RAT يعتمد على Python، ثم تحميل مكوّن آخر يعمل في الذاكرة لتلقي الأوامر وتنفيذ حمولات إضافية. هذا السيناريو يجعل كشف الإصابة أصعب، لأن جزءاً من النشاط لا يترك أثراً تقليدياً واضحاً على القرص.
ما الذي تسعى إليه الحملة؟
- سرقة بيانات تسجيل الدخول.
- الوصول إلى محافظ العملات الرقمية.
- جمع معلومات Active Directory داخل الشبكات.
- الحفاظ على اتصال دائم مع خادم التحكم والسيطرة.
- تهيئة البيئة لهجمات لاحقة أسرع وأكثر ضرراً.
لماذا أصبحت هجمات Chrome Sync والمثبتات الملوثة خطيرة؟
اللافت في هذه الهجمات أن نقطة البداية تبدو عادية جداً: مستودع مألوف، ملف تثبيت يبدو سليماً، أو إعداد مزامنة لا يثير الشك. لكن بمجرد حدوث التسليم الخاطئ، يبدأ الجهاز في التواصل مع بنية المهاجمين بسرعة أكبر من قدرة المستخدم على ملاحظة ما يجري.
هذا النمط يوضح أن البرمجيات الخبيثة الحديثة لم تعد تعتمد فقط على الثغرات المعقدة، بل على الثقة اليومية وسلوك المستخدم المعتاد. لذلك فإن إعدادات المتصفح، والمثبتات القادمة من مصادر غير مؤكدة، وأدوات الألعاب غير الرسمية أصبحت كلها نقاط دخول حساسة.
كيف يمكن تقليل خطر البرمجيات الخبيثة الآن؟
الحماية تبدأ من تقليل الثقة الافتراضية. لا يكفي أن يبدو البرنامج مشهوراً أو أن يحمل اسماً قريباً من أداة معروفة، لأن كثيراً من هذه الحملات تبني نجاحها على التشابه لا على الاختراق المباشر.
- تحميل البرامج من المواقع الرسمية فقط.
- تجنب أدوات الغش والبوتات غير الموثوقة.
- تعطيل المزامنة غير الضرورية ومراجعة الأجهزة المرتبطة بالحساب.
- فحص أي مثبت جديد قبل التشغيل.
- مراقبة الاتصالات غير المعتادة واستهلاك النظام.
الخلاصة أن البرمجيات الخبيثة باتت أسرع انتشاراً وأكثر قدرة على التخفي داخل أدوات يومية يستخدمها اللاعبون والموظفون معاً. ولهذا ترى تيكبامين أن الوعي بالمصدر وسلوك التثبيت الآمن أصبحا خط الدفاع الأول قبل أي برنامج حماية.