PupkinStealer – برمجية خبيثة لسرقة البيانات الحساسة

في نيسان- 2025، تم اكتشاف برمجية خبيثة جديدة تُدعى "PupkinStealer"، والتي تركز على سرقة البيانات الحساسة للمستخدمين من خلال أسلوب بسيط لكنه وفعال. تم تطوير هذه البرمجية باستخدام لغة #C وإطار عمل NET. ، وتستهدف بشكل رئيس أنظمة ويندوز.

28 مشاهدة
5 دقائق
PupkinStealer - برمجية خبيثة تسرق البيانات
PupkinStealer - برمجية خبيثة تسرق البيانات

في نيسان- 2025، تم اكتشاف برمجية خبيثة جديدة تُدعى “PupkinStealer”، والتي تركز على سرقة البيانات الحساسة للمستخدمين من خلال أسلوب بسيط لكنه وفعال. تم تطوير هذه البرمجية باستخدام لغة #C وإطار عمل NET. ، وتستهدف بشكل رئيس أنظمة ويندوز.

آلية عمل PupkinStealer

عند تنفيذ البرمجية، تنشئ أرشيف مضغوط بصيغة ZIP يحتوي على جميع البيانات المسروقة، مع إضافة معلومات عن الضحية مثل اسم المستخدم، عنوان IP العام، ومعرف أمان ويندوز (SID). وتعمل برمجية PumpkinStealer عن طريق استخراج وفك تشفير بيانات اعتماد تسجيل الدخول المحفوظة من المتصفحات المستندة إلى كروم باستخدام واجهة برمجة تطبيقات حماية بيانات ويندوز. كما أنه ينسخ مجلد tdata الخاص بتلجرام، مما يسمح للمهاجمين بالاستيلاء على الحسابات دون الحاجة إلى بيانات الاعتماد. بالإضافة إلى ذلك، فهي تجمع رموز مصادقة Discord من دلائل leveldb، مما يتيح الوصول غير المصرح به. وبمجرد تنفيذها، تقوم البرمجية الخبيثة بما يلي:

  • تلتقط لقطة شاشة بملء الشاشة وتحفظها كملف .jpg.
  • تضغط جميع البيانات المسروقة في أرشيف ZIP.
  • تنقل ملف ZIP إلى روبوت Telegram الذي يتحكم به المهاجمون عبر عنوان URL لواجهة برمجة تطبيقات مصممة خصيصاً لهذا الغرض.

تعمل PupkinStealer كملف تنفيذي بحجم 6.21 ميغابايت، وتستهدف سرقة معلومات حساسة تشمل:

  • بيانات تسجيل الدخول، عبر سرقة كلمات المرور وملفات تعريف الارتباط من المتصفحات. يمكن استخدام هذه البيانات المسروقة في أنشطة احتيالية.
  • جلسات التطبيقات المالية والمصرفية ، وكذلك استهداف بيانات الجلسات في تطبيقات المراسلة مثل تيليجرام وديكورد والاستيلاء عليها عن بعد.
  • التجسس على الشركات عبر جمع ملفات معينة من سطح المكتب وبيعها.

استغلال Telegram

يستغل PupkinStealer ثغرات في واجهة برمجة التطبيقات الخاصة بتيليجرام، مما يسمح له بإرسال البيانات المسروقة دون أن يتم اكتشافه بسهولة. هذه الثغرات تشمل عدم حماية الرسائل السابقة بشكل كافٍ، مما يسهل على المهاجمين إعادة تشغيل الرسائل. وتحديداً، تستخدم PupkinStealer واجهة برمجة التطبيقات الخاصة بتيليجرام (Telegram Bot API) لإرسال البيانات المسروقة، مما يجعل من الصعب اكتشافها من قبل أنظمة المراقبة التقليدية.

تعتمد البرمجية على استغلال ثغرة في واجهة برمجة التطبيقات، حيث يمكن إعادة تشغيل الرسائل السابقة من قبل أي شخص قادر على اعتراض وفك تشفير حركة HTTPS. وتم تصميم هذه البرمجية الخبيثة لتكون متوافقة مع بيئات x86 وx64، مما يزيد من نطاق تأثيرها. على الرغم من بساطتها، فإنها تُظهر قدرات كبيرة في جمع البيانات، مما يجعلها تهديداً ملحوظاً. كما لوحظ توزيع PupkinStealer من خلال رسائل البريد الإلكتروني الاحتيالية، أو الروابط الضارة المرسلة عبر منصات المراسلة. وتتطلب البرمجية تنفيذاً يدوياً من الضحية، مما يعني أنها تعتمد على أساليب الهندسة الاجتماعية لإقناع المستخدمين بفتح الملفات الضارة.

PupkinStealer – تخفيف المخاطر

تُشير الأبحاث إلى أن PupkinStealer قد تم تطويرها من قبل مطور يُعرف باسم “Ardent”، مع وجود نصوص باللغة الروسية في بيانات التعريف الخاصة بالبوت، مما يشير إلى أصول روسية محتملة. هذا يأتي في وقت تزايد فيه القلق بشأن حملات سرقة المعلومات وبرمجيات الفدية التي تنطلق من مجموعات القراصنة في أوروبا الشرقية. يمكن أن يؤدي استخدام PupkinStealer إلى سرقة بيانات حساسة، مما يزيد من مخاطر خرق البيانات، وحدوث أضرار سمعة وخسائر مادية كبيرة للمؤسسات. وتحديداً على الشركات التي تستخدم تيليجرام أو ديسكورد للتواصل, وكذلك المطورين الذين يخزنون مفاتيح واجهة برمجة التطبيقات أو بيانات اعتماد قاعدة البيانات في ملفات محلية.

حماية المؤسسات

للتصدي للتهديد المتزايد الذي يشكله “PupkinStealer “، تُوصى المؤسسات باتباع الإجراءات التالية:

  • الطلب المؤسسات والأفراد تفعيل المصادقة متعددة العوامل على حساباتهم، وخصوصاً تيليجرام وديسكورد.
  • مراقبة مواقع تخزين بيانات اعتماد المتصفح بحثاً عن محاولات وصول غير مصرح بها.
  • التحقق من إنشاء ملفات ZIP غير اعتيادية في النظام.
  • مراقبة حركة الشبكة لاكتشاف أي اتصالات غير عادية مع واجهة برمجة التطبيقات الخاصة بتيليجرام.
  • حماية نقاط النهاية (End point) لمواجهة التهديدات الناشئة، واستخدام برامج مكافحة الفيروسات المحدثة.
  • مراجعة الوصول إلى التطبيقات الخارجية المستخدمة في منصات المراسلة.
  • تقييد الوصول إلى الملفات الحساسة باستخدام حلول التشفير والتخزين الآمن.

حماية الأفراد

  • تجنب تنزيل ملفات غير معروفة من مصادر غير موثوق بها.
  • تغيير كلمات المرور على الفور إذا تم اكتشاف نشاط مريب.
  • مسح بيانات الاعتماد المحفوظة من المتصفحات لمنع الوصول غير المصرح به.

كلمة أخيرة

تُظهر PupkinStealer أن البرمجيات الخبيثة الحديثة لم تعد بحاجة إلى كود معقد لسرقة المعلومات الحساسة. في بعض الأحيان، تكون الأساليب الأبسط هي الأكثر صعوبة في الاكتشاف. من الضروري أن تظل المؤسسات والأفراد حذرة وأن يتخذوا خطوات استباقية لحماية بياناتهم من هذه التهديدات المتطورة. خصوصاً أن برمجية PumpkinStealer اتجاهاً متنامياً في الجريمة الإلكترونية، حيث يستغل المهاجمون منصات شرعية مثل تيليجرام لاستخراج البيانات خلسةً. على الرغم من افتقار هذه البرمجية الخبيثة لآليات متقدمة، إلا أن قدرتها على جمع بيانات الاعتماد، والاستيلاء على جلسات المراسلة، وسرقة الملفات الحساسة تجعلها تهديداً خطيراً للأفراد والشركات.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *