• الرئيسة
    منظمة سام
    عودة للرئيسة
  • 21/06/2023
    •  https://dg.samrl.org/l?a4844
    الكشف عن برنامج خبيث يهاجم أنظمة ويندوز ويسرق معلومات الضحية
    الحقوق الرقمية |

    اكتشف فريق أبحاث سايفيرما CYFIRMA مؤخرًا سارق معلومات يُدعى ميستيك ستيلر "Mystic Stealer" يتم الترويج له في منتدى غير شرعي، حيث يستخدم ممثل التهديد قناة تيليغرام Telegram لعملياتهم، مشيرين إلى أن أداة التهديد هذه تعمل باستمرار على تحسين البرامج الضارة، بدمج ميزات جديدة لتعزيز فعاليتها وتوسيع قاعدة مستخدميها. 

    وكشف التحقيق الاستخباراتي مفتوح المصدر (OSINT) عن وجود أكثر من 50 خادمًا نشطًا للقيادة والسيطرة (C2)، مما يشير إلى الانتشار المتزايد لهذا التهديد، معتبرًا أن "السارق الغامض" ميستيك ستيلر يظهر كمنافس محتمل لبرامج سرقة المعلومات الفعالة.

    يقدم هذا التقرير رؤى شاملة لقدرات ميستيك ستيلر Mystic Stealer ويقدم نتائج الاستخبارات مفتوحة المصدر OSINT الخاصة بالشركة.

    مقدمة
    في أواخر أبريل 2023، ظهر Mystic Stealer لأول مرة في منتديات بارزة غير شرعية، وجذب الانتباه بميزاته وقدراته وأسعاره المعلن عنها. خلال الأسابيع اللاحقة، تم توفير السارق للاختبار للاعضاء القدامى المعروفين داخل المنتدى، الذين تحققوا من فعاليته وقدموا ملاحظات قيمة لمزيد من التحسينات. أدرجت الجهات الفاعلة في مجال التهديد هذه التوصيات بجدية في السارق، مما أدى إلى تحديثات وتحسينات مستمرة. وبالتالي، بدأ مايستك ستيلر Mystic Stealer في إنشاء موطئ قدم أقوى في مشهد التهديد ، كما يتضح من العدد المتزايد من لوحات القيادة والتحكم (C2) التي لوحظت في البرية.

    الملاحظات الرئيسية
    * يوضح ممثل التهديد فهمه لأهمية تلقي المصادقة من الأعضاء المعينين داخل المنتدى غير الشرعي فيما يتعلق بالمنتج. علاوة على ذلك، يدعو مؤلف المنتج صراحةً اقتراحات لإجراء تحسينات إضافية على السارق، كما هو واضح في الإصدارات المحدثة، مما يدل على بذل جهد مستمر لتحسين المنتج.
    * يشير تقييم نتائج فحص مضادات الفيروسات إلى معدل اكتشاف منخفض نسبيًا، يُحتمل أن يُعزى إلى قدرة المنشئ على تغيير شفرة المصدر ، وبالتالي تجنب الاكتشاف.
    * كشف تحقيقنا القائم على استخبارات مفتوحة المصدر (OSINT) عن وجود أكثر من 50 خادمًا نشطًا للقيادة والتحكم (C2). تؤكد هذه النتيجة على الانتشار المتزايد لـ Mystic Stealer في مشهد التهديدات الإلكترونية.
    * يتوفر اشتراك Stealer مقابل 150 دولارًا أمريكيًا شهريًا، بينما تبلغ تكلفة الاشتراك لمدة ثلاثة أشهر 390 دولارًا أمريكيًا. بالإضافة إلى ذلك، يعتزم ممثل التهديد رفع الأسعار استجابة لشعبية السارق المتزايدة.

    الميزات الرئيسية للمخترق والمُنشئ الأسطوري
    * الخادم مكتوب بلغة Python ، بينما العميل مكتوب بلغة C.
    * يُظهر Mystic Stealer معدل اكتشاف منخفضًا استنادًا إلى نتائج فحص AV، باستخدام تقنيات معالجة الكود لتجنب الاكتشاف بواسطة معظم منتجات مكافحة الفيروسات.
    * يُزعم أن البرامج الضارة تستهدف جميع إصدارات ويندوز Windows من XP إلى Windows 11، وتدعم كل من انظمة x86 و x64.
    * يعمل في الذاكرة لتجنب الاكتشاف ويستخدم استدعاءات النظام لتسوية الأهداف، مما يضمن عدم ترك أي أثر على القرص الصلب أثناء عملية استخراج البيانات. بمجرد تحديد البيانات الهدف، تقوم البرامج الضارة بضغطها وتشفيرها ونقلها. 
    * مصادقة العميل غير مطلوبة؛ يتم إرسال البيانات فور استلامها.
    * تم تطوير البرامج الضارة دون الاعتماد على مكتبات الجهات الخارجية وتتضمن محلل قاعدة بيانات متصفح مكتوب ذاتيًا لتحسين الوظائف.

    المعلومات التي يقوم بجمعها
    * كلمات المرور وملفات تعريف الارتباط والملء التلقائي وبطاقات الائتمان والمحفوظات من المتصفحات الشائعة ، استنادًا إلى Chromium و Mozilla
    * امتداد محفظة العملة المشفرة - أكثر من 70 امتدادًا
    * جمع كلمة المرور في Outlook
    * الملفات حسب إعدادات المستخدم
    * معلومات النظام
    * لقطة شاشة

    تقييم الاثر
    Mystic Stealer، برنامج ضار متطور ومتطور، يعرض مخاطر كبيرة وتأثيرات محتملة. يشمل التأثير خروقات البيانات، والخسائر المالية، والاضطرابات التشغيلية، وتحديات الامتثال التنظيمي، والإضرار بالسمعة. 

    الضحايا
    تعتبر الشركات التي تتعامل مع البيانات الحساسة، مثل معلومات التعريف الشخصية (PII) أو السجلات المالية أو الملكية الفكرية، أهدافًا مغرية لـ Mystic Stealer. قد تكون الصناعات مثل الرعاية الصحية والتمويل والتكنولوجيا مستهدفة على وجه التحديد بسبب القيمة المحتملة للبيانات التي تمتلكها. إلى جانب ذلك، يستهدف Mystic Stealer على وجه التحديد الأفراد المشاركين في معاملات العملة المشفرة. وهذا يشمل مستخدمي محافظ العملات المشفرة والمتداولين والمشتغلين بأنشطة التعدين. تهدف البرامج الضارة إلى سرقة محافظ العملة المشفرة أو المفاتيح الخاصة أو بيانات اعتماد تسجيل الدخول للحصول على وصول غير مصرح به إلى هذه الأصول.

    خاتمة
    Mystic هو سارق فعال يعمل باستمرار على تحسين قدراته في فترة زمنية قصيرة، بناءً على احتياجات ترقية المستخدمين، ويوفر تحكمًا كاملاً في البيانات. وهو مزود بلوحة قابلة للتكوين بشكل فردي، يتم تثبيتها على الخادم، جنبًا إلى جنب مع أداة (مورفر) قوية تسمح بتغيير الشكل أو الشكل الخارجي لبرنامج أو ملف معين من دون التأثير على وظيفته الأساسية. بالإضافة إلى ذلك، فهي تشتمل على محمل مناسب، يتميز بوظيفة التحميل التلقائي. Mystic قادر على استخراج البيانات من المتصفحات المبنية على منصات Chromium و Mozilla. علاوة على ذلك، يمكنه معالجة المعلومات من أكثر من 70 امتدادًا للعملات المشفرة و Outlook. يتم التأكيد على أن جميع السجلات يتم تخزينها بشكل آمن وفك تشفيرها على الخادم لتحقيق أقصى قدر من الأمان والشفافية. تزيد قدرات Mystic Stealer والمراجعات الجيدة من قبل قدامى الأعضاء في المنتدى السري من وجودها في مشهد التهديد، مما يشكل تهديدًا كبيرًا للمنظمات والأفراد.

    استراتيجيات/ توصيات التخفيف
    لإدارة تأثير Mystic Stealer والتهديدات المماثلة بشكل فعال، يجب على المنظمات التركيز على التدابير الاستباقية:
    إجراءات أمنية قوية: يمكن أن يؤدي تنفيذ إستراتيجية دفاعية متعددة الطبقات باستخدام تقنيات متقدمة لمنع التهديدات وبرامج مكافحة فيروسات حديثة وجدران الحماية وأنظمة كشف التسلل وتصحيح الأمان المنتظم إلى تقليل مخاطر تسلل Mystic Stealer بشكل كبير.
    استخبارات التهديدات ومراقبتها: يمكن أن تساعد المراقبة المستمرة لمصادر استخبارات التهديدات، ومشاركة المعلومات داخل المجتمعات الأمنية، والاستفادة من معلومات التهديدات، المنظمات على البقاء على اطلاع بأحدث مؤشرات التسوية المرتبطة بـ Mystic Stealer. وهذا يسمح بجهود الكشف المبكر والاستجابة والتخفيف.

    توعية الموظفين وتدريبهم: يعد تثقيف الموظفين حول أفضل الممارسات الأمنية، والتعرف على محاولات التصيد، والحفاظ على ثقافة الوعي الأمني أمرًا بالغ الأهمية. يمكن لبرامج التدريب المنتظمة وتمارين التصيد المحاكاة أن تمكّن الموظفين من تحديد التهديدات المحتملة والإبلاغ عنها، مما يقلل من احتمالية نجاح عدوى السارق المتخفي.
    الاستجابة للحوادث والتخطيط للاسترداد: يعد تطوير خطة استجابة قوية للحوادث تتضمن بروتوكولات الاتصال وعمليات التحقيق في الطب الشرعي واستراتيجيات النسخ الاحتياطي والاسترداد أمرًا ضروريًا. يمكن أن يساعد الاستعداد الجيد في تقليل تأثير هجوم السارق المتخفي.

    يشكل ميستيك ستيلر Mystic Stealer مخاطر كبيرة وتأثيرات محتملة من منظور إدارة  التهديدات الخارجية الشاملة. من خلال تنفيذ نهج استباقي للأمن، والحفاظ على دفاعات قوية، وتعزيز وعي الموظفين، ووجود خطط استجابة فعالة للحوادث، يمكن للمؤسسات تقليل تأثير Mystic Stealer وتعزيز قدرتها على الصمود أمام التهديدات الناشئة.

    المصدر: CYFIRMA 

  •

  •  
    من نحن
    الحقوق الرقمية في اليمن، أحد مشاريع منظمة سام بدعم منظمة إنترنيوز، ويهدف المشروع للتعريف بالحقوق الرقمية، ورصد الانتهاكات بحق النشطاء والفاعلين والمستخدمين للفضاء الرقمي.
    أتصل بنا
    +9672276293
    +96702276294
    violations@samrl.org
    Yemen, Aden, Sanaʿā ,Mareb, Taiz
    جميع الحقوق محفوظة لمنظمة سام © 2023، تصميم وتطوير