OnyxC2 يحوّل حيل Windows إلى اقتصاد Stealer منخفض التكلفة
يصف الباحثون حزمة برمجيات خبيثة بسعر 250 دولارا شهريا بُنيت حول استهداف واسع للتطبيقات وتقنيات التهرب المألوفة في Windows، في تذكير بأن السرقة السلعية باتت أكثر انضباطا من الناحية التقنية.
مقدمة
ليس OnyxC2 لافتا لأنه يبتكر سلسلة استغلال جديدة. بل لأنه يحوّل أساليب العمل القديمة والفعالة إلى شيء مُسعّر للتوسع. وتُوصف البرمجية الخبيثة بأنها Stealer يُباع مقابل وصول شهري، مع قائمة أهداف تمتد إلى أكثر من 200 تطبيق وامتداد. وتكمن أهمية هذا المزيج في أنه يشير إلى أداة سهلة التشغيل مصممة لالتقاط بيانات حسابات قيّمة مع جعل الفحص أصعب على المدافعين.
حقائق سريعة
- يُوصف OnyxC2 Stealer بأنه عرض برمجيات خبيثة بسعر 250 دولارا شهريا.
- يُذكر أنه يستهدف أكثر من 200 تطبيق وامتداد.
- تُعد الحمولات المشفرة جزءا من نهج التهرب المبلغ عنه.
- كما يُدرج DLL sideloading ضمن تقنياته.
- ويُعد التنفيذ في الذاكرة طريقة أخرى مُبلّغ عنها لتقليل الآثار الواضحة القائمة على القرص.
المتن
النمط التقني مألوف لأي شخص يتابع إساءة استخدام Windows. يمكن أن تجعل الحمولات المشفرة الفحص الثابت أقل فائدة لأن الشيفرة ذات المعنى لا تكون مرئية مباشرة على القرص. يضيف DLL sideloading طبقة أخرى عبر السماح لملف تنفيذي مشروع بتحميل مكتبة خبيثة في ظروف قد تبدو روتينية بالنسبة للأدوات الأساسية. ثم ينقل التنفيذ في الذاكرة التركيز بعيدا عن الملفات تماما وباتجاه ما يحدث داخل عملية قيد التشغيل.
هذا المزيج لا يضمن التخفي، لكنه يغير عبء العمل على المدافع. تصبح تجزئات الملفات، والمطابقات البسيطة للتواقيع، والفحوصات لمرة واحدة أقل موثوقية عندما تكون البرمجية الخبيثة مصممة لفك الحزم متأخرا، أو التحميل عبر برمجيات موثوقة، أو العيش أساسا في الذاكرة. وعمليا، يدفع ذلك الاكتشاف نحو السلوك: مسارات تحميل DLL المشبوهة، والعمليات الفرعية غير المعتادة، وتعديلات الذاكرة، وغيرها من إشارات التشغيل.
إن اتساع نطاق الأهداف المُبلغ عنه مهم أيضا بالقدر نفسه. فـ Stealer الذي يصل إلى مئات التطبيقات والإضافات لا يقتصر على البحث عن كلمات المرور داخل ملف تعريف متصفح واحد. بل إنه مبني حول الواقع الحديث الذي يعيش فيه الوصول القيم غالبا في بيانات المتصفح، والجلسات المحفوظة، ومتاجر الإضافات، وغيرها من الآثار الصغيرة التي قد تدوم أطول من تسجيل دخول واحد. ومن منظور دفاعي، يعني ذلك أن حماية الحساب لا يمكن أن تتوقف عند تغيير كلمات المرور وحده. إذا جرى التقاط مواد الجلسة، فقد تكون هناك حاجة أيضا إلى إبطالها وتنظيف الرموز المميزة، بحسب الخدمة.
وتوجد هنا ملاحظة تحذيرية مهمة: المعلومات المتاحة تدعم تحليلا للمخاطر، لا ادعاء نهائيا بشأن أي ضحية مسماة أو اختراق لاحق مؤكد. والدرس العملي أضيق وأكثر فائدة - إذ لا يزال Stealer سلعي مع تهرب متعدد الطبقات قادرا على خلق تعرض خطير لمخاطر الحساب حتى عندما لا يعتمد على ثغرة جديدة.
الخلاصة
يعد OnyxC2 مثالا واضحا على الاتجاه الذي تواصل الجريمة السيبرانية التطور فيه: ليس دائما عبر استغلالات اختراقية، بل عبر التغليف والتسعير والانضباط التشغيلي. والدرس الأوسع هو أن على المدافعين قياس Stealer بما يمكنه الوصول إليه، وكيف يختبئ، وما حالة الحساب التي يمكنه الحفاظ عليها - لأن الجائزة الحقيقية في كثير من الاختراقات ليست الجهاز نفسه، بل الثقة الموجودة خلفه.
TECHCROOK
مفتاح أمان مادي: جهاز بسيط للعامل الثاني لحسابات الإنترنت المهمة. عند توفره، يضيف خطوة مادية إلى عمليات تسجيل الدخول ويمكن أن يقلل الاعتماد على كلمات المرور وحدها. إنه خيار عملي للبريد الإلكتروني، ومديري كلمات المرور، وغيرها من الخدمات الحساسة حيث تمثل البيانات المسروقة خطرا. يُفضل إقرانه بكلمات مرور قوية وفريدة ورموز استرداد الحساب المخزنة دون اتصال بالإنترنت.
WIKICROOK
- البرمجيات الخبيثة كخدمة: نموذج تُباع فيه الأدوات الخبيثة بالاشتراك، مما يخفض العائق أمام المشغلين المحتملين.
- DLL sideloading: أسلوب إساءة استخدام في Windows يقوم فيه برنامج مشروع بتحميل مكتبة يتحكم بها المهاجم بدلا من المكتبة المقصودة.
- التنفيذ في الذاكرة: تشغيل الشيفرة أساسا في RAM بدلا من ترك ملفات واضحة على القرص، مما قد يعقد الاكتشاف.
- حمولة مشفرة: مكون خفي أو مشوش من البرمجية الخبيثة لا يصبح مقروءا إلا عند تشغيل الشيفرة.
- رمز جلسة: عنصر اعتماد يمكن أن يبقي الحساب مسجلا دخوله وقد يحتاج إلى إبطال إذا تم سرقته.




