تتطور التهديدات السيبرانية بسرعة فائقة، وأحد أبرز هذه التهديدات هي برامج سرقة المعلومات (Infostealers) و منها موضوع مقالتنا اليوم (Vidar Stealer) فيدار . يُصنف فيدار (Vidar) ضمن البرمجيات الضارة التي تعمل كخدمة (MaaS) وقد ظهر للمرة الأولى في أواخر عام 2018، ليواصل التكيف والتحسين ليبقى فعالاً في مواجهة الدفاعات الحديثة. يتميز هذا النوع من البرامج الخبيثة بقدرته الفائقة على التخفي والبقاء فعالاً، مستخدماً قنوات تحكم وقيادة (C2) مشفرة، واستغلال الملفات الشرعية (LOLBins) ، وطرق إخفاء البيانات المسروقة. يستهدف فيدار بشكل أساسي بيئات Windows ، ويقوم بسرقة بيانات حساسة على نطاق واسع، مما يجعله تهديداً خطيراً للأفراد والمؤسسات على حد سواء.
فيدار (Vidar ) و برامج سرقة المعلومات – البدايات
لم يظهر فيدار (Vidar) من فراغ، بل تطور بشكل كبير من عائلة برامج Arkei الخبيثة. بينما تشاركا في البداية العديد من أوجه التشابه، سرعان ما أصبح برنامج سرقة معلومات مستقلاً وأكثر قوة، يتميز بهيكلية قياسية وقدرات محسّنة لجمع البيانات. إن مرونته، وسهولة نشره، جعلت منه أداة مرغوبة للغاية في منتديات القراصنة المخصصة لبيع وشراء البرامج الخبيثة. يُوزع فيدار عبر نموذج “البرمجيات الخبيثة كخدمة” (MaaS) ، مما يُمكّن حتى المهاجمين ذوي المهارات المنخفضة من إطلاق حملات مخصصة بأقل جهد، مما أدى إلى انتشاره الواسع في جرائم الانترنت ذات الدوافع المالية.
تعتمد آليات تسليم “فيدار” بشكل كبير على الهندسة الاجتماعية، حيث يعتمد على الخداع لتضليل المستخدمين وحملهم على تنفيذ حمولته (payload) الخبيثة. يتم تصميم هذه الحملات بعناية لتندمج بسلاسة مع التفاعلات الرقمية المعتادة مما يزيد احتمالية الإصابة. تشمل طرق التوزيع القياسية رسائل البريد الإلكتروني التصيدية (phishing) التي تحتوي على مرفقات ضارة أو روابط تُنزّل ملف فيدار (Vidar) بصمت، بالإضافة إلى التنزيلات الخبيثة من مواقع ويب مخترقة أو ضارة تستغل الثغرات الأمنية في المتصفحات. كما يستغل فيدار حملات الإعلانات الضارة (Malvertising) التي تتنكر في شكل برامج تثبيت أو تحديثات شرعية، لتعيد توجيه الضحايا إلى الحمولة الخبيثة (malicious payloads) . هذه الاستراتيجية المتعددة تمكّن (Vidar) من الوصول إلى جمهور واسع مع تجاوز الدفاعات الأساسية بشكل متكرر، مستغلاً ثقة المستخدم عبر محاكاة المحتوى الآمن (legitimate content).
خطة الهجوم – برامج سرقة المعلومات (Vidar)
تبدأ سلسلة إصابة برامج سرقة المعلومات (Vidar) عادةً بسكريبت PowerShell الذي يؤسس الاتصال بخادم بعيد لاستدعاء مكونين رئيسيين: الملف الثنائي الرئيس لفيدار Vidar binary (.exe) ومُحمّل PowerShell (.ps1). يستخدم هذا السكريبت تقنيات تخفي متطورة، مثل إنشاء أدلة مخفية تستند إلى GUID ، وتسمية الملفات عشوائياً، وتزوير وكيل المستخدم (User-Agent) ، وإعادة المحاولة وتعزيز التخفي والتفادي ضد آليات الكشف الأساسية. ومن أبرز تكتيكات فيدار Infostealer لتجاوز الدفاعات :
1. تجاوز AMSI (واجهة فحص البرامج الضارة): يحتوي البرنامج الخبيث على وظيفة PowerShell تُسمى Disable-Amsi، مصممة للالتفاف على واجهة فحص البرامج الضارة (AMSI)، وهي ميزة أساسية في Windows تسمح لمحركات مكافحة الفيروسات بفحص السكريبتات قبل التنفيذ. باستخدام (reflection)، يصل فيدار إلى الفئة الداخلية AmsiUtils ويُعيّن حقل amsiInitFailed إلى true، مما يؤدي فعلياً إلى تعطيل فحوصات AMSI ويسمح لتعليمات PowerShell الخبيثة بالتشغيل دون كشف.
2. تجاوز Windows Defender: لتجنب الفحص في الوقت الفعلي، يستدعي السكريبت أمر Add-MpPreference لاستبعاد كل من ملف فيدار الثنائي (binary) الذي تم تنزيله والمحمل الثانوي لـ PowerShell من فحوصات Microsoft Defender. من خلال وضع هذه الملفات في أدلة مخفية ومستثناة (excluded)، يضمن البرنامج الخبيث بقاءها غير مرئية من برامج مكافحة الفيروسات.
مراحل الهجوم (Vidar Stealer)
تنفيذ الحمولة (Payload)
في هذا النوع من برامج سرقة المعلومات تبع سكريبت PowerShell سلسلة من الخطوات للتخفي والحفاظ على وجوده وتجنب الكشف. بعد تنزيل مكوناته، يحاول تشغيل الملف التنفيذي و رفع مستوى الصلاحيات. إذا تم رفض رفع الصلاحيات، فإنه ينفذ الحمولة بالخفاء في الخلفية باستخدام Start-Process. لتعزيز التخفي، يُدخل السكريبت تأخيراً عشوائياً يتراوح بين 10 إلى 30 ثانية باستخدام Start-Sleep ، مما يقلل من احتمالية الكشف في بيئات التحليل التلقائي التي تراقب فترات التنفيذ القصيرة فقط. لضمان الاستمرار، يُنشئ فيدار Infostealer مهمة مجدولة لتمكين تشغيل سكريبت PowerShell عند تسجيل دخول المستخدم.
عند تشغيل الملف التنفيذي، يقوم بحقن تعليمة برمجية خبيثة في msbuild.exe ، وهي عملية Windows موثوقة تُستغل غالباً لتجنب الكشف. تطلق هذه التعليمة البرمجية المُحقنة أمر PowerShell يحتوي على حمولة مشفرة بـ Base64 ، والتي بعد فك تشفيرها، تكشف عن وظيفة لحقن العملية داخل الذاكرة.
سرقة البيانات السرية
من أبرز تكتيكات فيدار Infostealer هي اختطاف واجهة برمجة التطبيقات CryptProtectMemory API لسرقة البيانات الحساسة عندما يحاول برنامج شرعي، مثل متصفح الويب، تشفيرها. تستخدم العديد من المتصفحات الحديثة هذه الواجهة لحماية كلمات المرور وملفات تعريف الارتباط ورموز المصادقة المخزنة في الذاكرة.
عن طريق اختطاف هذه الوظيفة، يقوم Vidar -كأحد برامج سرقة المعلومات- بإدراج تعليمة برمجية خبيثة بصمت. فعندما يستدعي متصفح CryptProtectMemory لتشفير البيانات الحساسة، يتم تشغيل برنامج فيدار الخبيث أولاً. بدلاً من السماح بالتشفير فقط، يقوم فيدار بنسخ البيانات الخام غير المشفرة ويرسلها سراً إلى جزء آخر من البرنامج الخبيث. تسمح هذه الخدعة لفيدار بسرقة كلمات المرور ورموز الجلسة من المتصفح دون الحاجة إلى كسر أي تشفير، لأنه يستولي على البيانات قبل تشفيرها، مما يجعل هذا النهج خفياً وفعالاً وصعب الكشف عنه.
الاتصال مع C2
يتلقى فيدار Infostealer تفاصيل خادم C2 الخاص به باستخدام آلية “Dead Drop Resolver”. بدلاً من ترميز عناوين C2 مباشرة في الملف الثنائي، يجلب فيدار هذه العناوين من مصادر تبدو بريئة، مثل ملفات تعريف Steam وقنوات Telegram ، حيث يقوم المهاجم بإخفاء معلومات البنية التحتية الخاصة به. هذه التقنية تزيد من صعوبة تتبع البنية التحتية للتهديد وتساعد في الحفاظ على سرية عمليات التحكم والقيادة.
جمع البيانات وتسريبها
يستهدف فيدار مجموعة واسعة من البيانات الحساسة من الأجهزة المصابة. يشمل ذلك كلمات مرور المتصفحات، وملفات تعريف الارتباط، وبيانات التعبئة التلقائية، بالإضافة إلى بيانات الاعتماد من تطبيقات FTP والبريد الإلكتروني. كما يستخرج فيدار ملفات محافظ العملات الرقمية ورموز المصادقة من منصات المراسلة والألعاب مثل Telegram وDiscord وSteam. بالإضافة إلى ذلك، يبحث عن المستندات والملفات الحساسة على النظام ويلتقط لقطات شاشة. يتم تجميع البيانات المسروقة وضغطها، ثم تسريبها إلى بنية C2 التحتية للمهاجم عبر طلبات POST مشفرة بـ TLS مع حمولات مشفرة بـ Base64 لتجنب الكشف.
تخفيف مخاطر برامج سرقة المعلومات
تُظهر هجمات فيدار Infostealer نهجاً متطوراً ومعيارياً لسرقة بيانات الاعتماد وتسريبها. إن استخدامه لتسليم الحمولة (payload)، وتجاوز AMSI، وتجاوز Defender ، وحقن العمليات، واختطاف API ، وقنوات التسريب المشفرة، يسلط الضوء على قدرته على تجاوز كل من الدفاعات القائمة على التوقيع والدفاعات السلوكية. من خلال طلب البنية التحتية C2 ديناميكياً واستهداف مجموعة واسعة من المعلومات الحساسة – من بيانات اعتماد المتصفح إلى محافظ العملات الرقمية – يشكل فيدار خطراً كبيراً على كل من المستخدمين الأفراد وبيئات المؤسسات.
يتطلب التخفيف الفعال استراتيجية دفاع متعددة الطبقات، بما في ذلك سياسات تضبط تنفيذ PowerShell ، ومراقبة العمليات ، والكشف عن الشذوذ في الشبكة، وتحديثات معلومات التهديد في الوقت المناسب. لتعطيل عمليات فيدار يجب حظر الوصول إلى المجالات الخبيثة المعروفة قبل أن يتمكن البرنامج الخبيث من تنزيل الحمولة أو الاتصال بمواقع C2 الخاصة به.
جدار الحماية من الجيل التالي (NGFW)
كما يجب تفحص جميع حركة مرور HTTP(S) الصادرة، وحظر طلبات POST المشبوهة إلى نقاط النهاية غير الموثوق بها. أما جدار الحماية من الجيل التالي (NGFW) فهو يطبق سياسات تستشعر التطبيقات لمنع الاتصالات غير المصرح بها بينما تكشف IDS/IPS عن الشذوذ في تدفق البيانات عبر الشبكة وتشير إلى حركة المرور غير العادية، مما يساعد فرق الأمن على تحديد الأجهزة المخترقة بسرعة.
ويساعد في ذلك أدوات مكافحة البرامج الضارة على مستوى نقطة النهاية (end point) لعزل الحمولة الخبيثة (payload)، ومنع محاولات تجاوز PowerShell AMSI، ومنع تنفيذ الملفات المخفية أو المستبعدة. و كطبقة حماية إضافية، تفرض الثقة الصفرية عبر فحص وضع المستخدم (User posture checks)، مما يضمن أن الأجهزة السليمة والمتوافقة فقط هي التي يمكنها الاتصال بالموارد الحساسة. هذه الدفاعات مجتمعة تخلق حاجزاً منسقاً ودائماً يعترض فيدار، ويعطل التحكم والقيادة، ويمنع تسريب البيانات، دون الاعتماد فقط على كشف نقطة النهاية.
كلمة أخيرة
يظل فيدار Infostealer تهديداً متطوراً ومتكيفاً في عالم الأمن السيبراني. إن قدرته على التخفي، وتجاوز الدفاعات، وسرقة مجموعة واسعة من البيانات الحساسة، تؤكد على الحاجة الماسة إلى استراتيجيات دفاعية قوية ومتعددة الجوانب. من خلال فهم آلياته الدقيقة وتطبيق حلول أمنية شاملة.
