كشف خبراء الأمن السيبراني عن ثغرة خطيرة من نوع XSS في لوحة تحكم برمجية StealC الخبيثة، تمكن الباحثين من التجسس على المهاجمين وسرقة بياناتهم الخاصة، في تحول مثير للأحداث رصده فريق تيكبامين.
ما تفاصيل الثغرة الأمنية في StealC؟
أوضح باحثون من شركة CyberArk أن الثغرة المكتشفة في لوحة التحكم القائمة على الويب لبرمجية StealC سمحت لهم بجمع معلومات حيوية عن الجهات الفاعلة التي تستخدم هذه البرمجية. وبدلاً من أن يكون المهاجم هو الصياد، أصبح هو الفريسة في هذه العملية العكسية.
وفقاً للتقرير، مكنت هذه الثغرة الباحثين من تنفيذ عدة إجراءات هجومية ضد القراصنة أنفسهم:
- جمع بصمات الأنظمة (System Fingerprints) الخاصة بأجهزة المخترقين.
- مراقبة الجلسات النشطة للمهاجمين في الوقت الفعلي.
- سرقة ملفات تعريف الارتباط (Cookies) من البنية التحتية المصممة أصلاً لسرقتها.
كيف انتشرت برمجية StealC الخبيثة؟
ظهرت برمجية StealC لأول مرة في يناير 2023 كخدمة (MaaS)، وسرعان ما أصبحت أداة شائعة بين مجرمي الإنترنت نظراً لفعاليتها وطرق نشرها المبتكرة.
وتعتمد البرمجية على عدة استراتيجيات للوصول إلى ضحاياها، أبرزها:
- شبكة يوتيوب الشبحية: استغلال منصة يوتيوب لنشر البرمجية عبر مقاطع فيديو تروج لبرامج مقرصنة وهمية.
- ملفات Blender المزيفة: نشر ملفات خبيثة تنتحل صفة أدوات برنامج التصميم الشهير.
- تكتيكات الهندسة الاجتماعية: استخدام تقنيات مثل "FileFix" لخداع المستخدمين وتحميل البرمجية.
وقد شهدت البرمجية تحديثات مستمرة، حيث تم إطلاق الإصدار الثاني (StealC V2) الذي تضمن ميزات جديدة مثل التكامل مع بوتات تيليجرام لإرسال الإشعارات وتحسين طرق تسليم الحمولة الخبيثة.
لماذا فشل المطورون في حماية أنفسهم؟
في مفارقة غريبة، تسرب كود المصدر الخاص بلوحة إدارة البرمجية قبل عدة أسابيع، مما منح مجتمع البحث الأمني فرصة ذهبية لتحليل البنية التحتية للمهاجمين. وقد كشف هذا التسريب عن ضعف أمني فادح في تصميم اللوحة.
غياب الحماية الأساسية
أشار التقرير الذي تابعه تيكبامين إلى أن مطوري StealC، الذين يتخصصون في سرقة ملفات تعريف الارتباط، فشلوا في حماية ملفاتهم الخاصة.
وتمثلت أبرز نقاط الفشل في:
- عدم التحقق من صحة مدخلات المستخدم بشكل صحيح، مما سمح بهجمات الحقن.
- غياب ميزة الأمان الأساسية httpOnly التي تمنع الوصول إلى الكوكيز عبر النصوص البرمجية.
- سهولة استغلال الثغرة لتنفيذ أكواد JavaScript خبيثة على متصفحات المخترقين.
هذا الاكتشاف يسلط الضوء على حقيقة أن مطوري البرمجيات الخبيثة غالباً ما يهملون معايير الأمان في أدواتهم الخاصة، مما يجعلهم عرضة لنفس الهجمات التي يشنونها على الآخرين.
