“`html

مايكروسوفت تكشف عن حصان طروادة جديد يستهدف ملحقات محافظ العملات المشفرة على متصفح Chrome

كشف باحثو مايكروسوفت عن حصان طروادة جديد للوصول عن بعد (RAT) يسمى StilachiRAT، مصمم لسرقة بيانات محافظ العملات المشفرة، وبيانات الاعتماد، ومعلومات النظام، مع الحفاظ على الوصول الدائم إلى الأجهزة المخترقة. تم الكشف عن ذلك من قبل الشركة في 17 مارس.

يستخدم هذا البرنامج الضار، الذي تم اكتشافه لأول مرة في نوفمبر 2024، تقنيات التخفي وإجراءات مكافحة التحليل الجنائي لتجنب الاكتشاف.

على الرغم من أن مايكروسوفت لم تنسب StilachiRAT بعد إلى جهة تهديد معروفة، يحذر خبراء الأمن من أن قدراته يمكن أن تشكل خطرًا كبيرًا على الأمن السيبراني، خاصةً على المستخدمين الذين يتعاملون مع العملات المشفرة.

تهديد متطور

StilachiRAT قادر على فحص واستخراج البيانات من 20 ملحقًا مختلفًا لمحافظ العملات المشفرة في Google Chrome، بما في ذلك MetaMask و Trust Wallet و Coinbase Wallet، مما يسمح للمهاجمين بالوصول إلى الأموال المخزنة.

بالإضافة إلى ذلك، يقوم البرنامج الضار بفك تشفير كلمات مرور Chrome المحفوظة، ومراقبة نشاط الحافظة بحثًا عن البيانات المالية الحساسة، وإنشاء اتصالات قيادة وتحكم عن بعد (C2) عبر منافذ TCP 53 و 443 و 16000 لتنفيذ الأوامر على الأجهزة المصابة.

يراقب RAT أيضًا جلسات بروتوكول سطح المكتب البعيد النشطة (RDP)، وينتحل شخصية المستخدمين عن طريق تكرار الرموز الأمنية، ويتيح الحركة الجانبية عبر الشبكات – وهي ميزة خطيرة بشكل خاص لبيئات المؤسسات.

تتضمن آليات الثبات تعديل إعدادات خدمة Windows وإطلاق سلاسل مراقبة لإعادة تثبيت نفسها إذا تمت إزالتها.

لتجنب الاكتشاف بشكل أكبر، يقوم StilachiRAT بمسح سجلات أحداث النظام، وإخفاء استدعاءات API، وتأخير اتصاله الأولي بخوادم C2 لمدة ساعتين. كما يبحث عن أدوات التحليل مثل tcpview.exe ويتوقف عن التنفيذ إذا كانت موجودة، مما يجعل التحليل الجنائي أكثر صعوبة.

استراتيجيات التخفيف والاستجابة

نصحت مايكروسوفت المستخدمين بتنزيل البرامج فقط من المصادر الرسمية، حيث يمكن للبرامج الضارة مثل StilachiRAT أن تتنكر في شكل تطبيقات شرعية.

أوصت الشركة أيضًا بتمكين حماية الشبكة في Microsoft Defender for Endpoint وتفعيل Safe Links و Safe Attachments في Microsoft 365 للحماية من توزيع البرامج الضارة القائمة على التصيد الاحتيالي.

تم تحديث Microsoft Defender XDR للكشف عن نشاط StilachiRAT. يتم حث متخصصي الأمن على مراقبة حركة مرور الشبكة بحثًا عن اتصالات غير عادية، وفحص تعديلات النظام، وتتبع عمليات تثبيت الخدمات غير المصرح بها التي قد تشير إلى وجود إصابة.

على الرغم من أن مايكروسوفت لم تلاحظ انتشارًا واسع النطاق لـ StilachiRAT، حذرت الشركة من أن الجهات الفاعلة في مجال التهديد غالبًا ما تطور برامجها الضارة لتجاوز الإجراءات الأمنية. وقالت مايكروسوفت إنها تواصل مراقبة التهديد وستقدم المزيد من التحديثات من خلال مدونة Threat Intelligence الخاصة بها.

ملخص القدرات الرئيسية لـ StilachiRAT

• استخراج بيانات محافظ العملات المشفرة من ملحقات Chrome.
• فك تشفير كلمات مرور Chrome المحفوظة.
• مراقبة الحافظة بحثًا عن بيانات مالية حساسة.
• إنشاء اتصالات قيادة وتحكم عن بعد (C2).
• مراقبة جلسات بروتوكول سطح المكتب البعيد النشطة (RDP).
• انتحال شخصية المستخدمين عن طريق تكرار الرموز الأمنية.
• إتاحة الحركة الجانبية عبر الشبكات.
• تعديل إعدادات خدمة Windows.
• إخفاء استدعاءات API.
• تأخير الاتصال بخوادم C2.
• تجنب أدوات التحليل الجنائي.

إجراءات الوقاية الموصى بها

1. تنزيل البرامج من مصادر رسمية فقط.
2. تمكين حماية الشبكة في Microsoft Defender for Endpoint.
3. تفعيل Safe Links و Safe Attachments في Microsoft 365.
4. مراقبة حركة مرور الشبكة بحثًا عن اتصالات غير عادية.
5. فحص تعديلات النظام المشبوهة.
6. تتبع عمليات تثبيت الخدمات غير المصرح بها.

“`