برنامج خبيث جديد CrystalX RAT يخطف البيانات ويتلاعب بشاشات المستخدم على نظام التشغيل Windows

Conceito de ataque cibernético. Alerta de malware, vírus

Conceito de ataque cibernético. Alerta de malware, vírus -Summit Art Creations/shutterstock.com

قام باحثون في مجال أمن المعلومات بتخطيط تشغيل منصة جديدة للجرائم الإلكترونية مصنفة على أنها برامج ضارة كخدمة. يدمج البرنامج، المسمى CrystalX RAT، أدوات للتحكم في الأجهزة عن بعد، والاستخراج الصامت لبيانات الاعتماد واستبدال عناوين المعاملات المالية. وتتبع متخصصون من شركة Kaspersky تسويق الأداة، التي اكتسبت زخمًا في السوق السرية منذ يناير 2026 من خلال قنوات مبيعات منظمة على Telegram وعروض الفيديو المنشورة على YouTube.

يسمح نموذج العمل الذي اعتمده المطورون للأفراد ذوي مستويات مختلفة من المعرفة التقنية باستئجار البنية التحتية الضارة عن طريق دفع اشتراكات مقسمة إلى فئات. توفر المنصة للمشترين لوحة تحكم تعتمد على واجهة تنقل مبسطة، مصحوبة بمنشئ تلقائي للملفات القابلة للتنفيذ. تسهل هذه البنية المركزية تخصيص كود الهجوم لحملات الهجوم الموجهة ضد أهداف محددة.

الفيروس – MR SOCCER/Shutterstock.com

بنية التحكم عن بعد ومراقبة النظام

تمنح وحدة الوصول عن بعد الرئيسية المشغل سيطرة كاملة تقريبًا على الجهاز المصاب. تتيح الأداة التنفيذ المباشر للأوامر في مترجم خط Windows، مما يجعل من الممكن تغيير إعدادات نظام التشغيل العميقة. يمكن للمهاجمين تحميل حمولات ضارة جديدة وتنزيل مستندات حساسة أثناء تصفح أدلة القرص الصلب بحرية. يضمن التكامل مع بروتوكول VNC مشاهدة شاشة المستخدم في الوقت الفعلي.

يتحرك التجسس نحو الاستيلاء على الوسائط المادية المتصلة بالكمبيوتر. يقوم البرنامج بتنشيط ميكروفون الجهاز والكاميرا لتسجيل الصوت والفيديو للبيئة دون تشغيل مؤشرات الإضاءة. أثناء جلسات الوصول المشترك، توفر لوحة الإدارة أزرار حظر تعمل على شل الإدخال الفعلي للمستخدم. تمنع هذه الميزة الضحية من مقاطعة تصرفات المجرم الإلكتروني عند محاولة استخدام الماوس أو لوحة المفاتيح. يسجل برنامج Keylogger المدمج جميع ضغطات المفاتيح ويرسل تقارير ضغطات المفاتيح إلى خادم الأوامر.

التركيز على المتصفحات واستبدال المحافظ الافتراضية

يوجه إطار سرقة معلومات CrystalX RAT جهوده نحو استخراج البيانات المخزنة في المتصفحات بناءً على مشروع Chromium. تتضمن قائمة الأهداف ذات الأولوية الإصدارات الحديثة من Chrome، بالإضافة إلى Yandex وOpera. وتتجاوز عملية جمع البيانات المتصفحات وتصل إلى ملفات الجلسة الخاصة بتطبيقات الاتصال والترفيه، مثل Steam وDiscord وTelegram. يتم إلغاء تنشيط الوحدة المحددة لاستخراج كلمات المرور بكميات كبيرة مؤقتًا من قبل المطورين، الذين يعدون بإعادة تنشيطها في تحديثات التعليمات البرمجية المستقبلية.

يعمل المكون المعروف باسم Clipper بصمت لمراقبة حافظة نظام التشغيل بشكل مستمر. الهدف الرئيسي لهذه الوظيفة هو تحديد أنماط النص التي تتوافق مع عناوين محفظة العملة المشفرة. بمجرد أن يكتشف البرنامج تسلسلًا متوافقًا أثناء عملية النسخ، فإنه يستبدله تلقائيًا بالمحفظة التي يتحكم فيها المهاجم. يقوم الضحية بإكمال المعاملة المالية دون ملاحظة التغيير في البيانات الملصقة في حقل الوجهة.

لضمان أمان المعلومات المسروقة أثناء النقل إلى خوادم القيادة والتحكم، قام المطورون بتنفيذ طبقات قوية من التشفير. تخضع الحمولات التي تم إنشاؤها بواسطة لوحة التحكم لعملية ضغط باستخدام مكتبة zlib وهي محمية بواسطة خوارزمية ChaCha20. يتم الاتصال بين الجهاز المصاب والخادم عبر بروتوكول WebSocket. ينشئ هذا الاختيار الفني اتصالاً ثنائي الاتجاه ومستمرًا، مما يلغي الحاجة إلى إعادة الاتصال المستمر ويضمن الاستقرار حتى في الشبكات التي تعاني من تقلبات الإشارة. في وقت الإصابة الأولية، ترسل البرامج الضارة مخزونًا كاملاً من الأجهزة لأغراض التتبع.

أدوات التعطيل البصري والتفاعلات المباشرة

يكمن اختلاف CrystalX RAT في السوق السرية في تكامل مجموعة واسعة من أدوات التعطيل، المصنفة تقنيًا على أنها برامج مزحة. يكتسب المشغلون القدرة على تغيير خلفية سطح المكتب وعكس اتجاه عرض الشاشة على الفور. توفر لوحة التحكم أيضًا أوامر لإعادة تعيين أزرار الماوس، وتعطيل تشغيل لوحة المفاتيح مؤقتًا، وإجبار الكمبيوتر على إيقاف التشغيل فجأة. تسبب هذه الإجراءات ارتباكًا فوريًا في بيئة عمل المستخدم.

انظر أيضاً
  1. وانخفض سعر إيبوفيسبا بأكثر من 1.5%، وعاد الدولار إلى 5 ريال برازيلي مع التوتر العالمي والسياسي
  2. F1: الجداول الزمنية وتوقعات الطقس وكيفية مشاهدة السباق والتأهل في سباق الجائزة الكبرى الكندي على الهواء مباشرة اليوم
  3. كيف هو التصنيف العام ليبرتادوريس 2026؟
  4. يأخذ تعديل الرسوميات Digital Dreams لعبة Red Dead Redemption 2 إلى آفاق بصرية جديدة
  5. Rockstar Games تغير الطلبات المسبقة للعبة GTA 6 إلى النصف الثاني من العام وتؤكد ظهورها لأول مرة في 2025
  6. يطلق فريق DAYTONA إصدار F6boost Black Edition ليجمع بين الطراز الحضري والأداء على الطرق الوعرة
  7. تطلق شركة Sony لعبتين كاملتين مجانًا لأصحاب PlayStation 5 كمكافأة نهائية
  8. تعمل شيفروليه تراكس ونيسان كيكس 2026 على تكثيف المنافسة في سوق سيارات الدفع الرباعي المدمجة للمبتدئين
  9. Apple تطور iPhone 18 Pro بظهر شبه شفاف وبطارية 5200mAh لعام 2026
  10. يشير تقرير منظمة الصحة العالمية إلى ركود عالمي ضد مخاطر الأوبئة الجديدة
  11. تحصل سيارة Mercedes-AMG GT على بطارية تبريد كبيرة الحجم للشحن فائق السرعة
  12. سيظهر جواو فونسيكا لأول مرة يوم الأحد في رولان جاروس ضد لاعب تنس مصنف حسب التصفيات

يتيح النظام الأساسي إرسال رسائل نصية تفتح نوافذ الحوار التفاعلي على شاشة الجهاز المخترق. تنشئ هذه الميزة قناة دردشة مباشرة وغير مرغوب فيها بين المهاجم والضحية. يمتلك المشغل أذونات لإخفاء أيقونات سطح المكتب، وإزالة شريط المهام من الشاشة، ومنع فتح مدير المهام وموجه الأوامر. ويخضع مؤشر الماوس أيضًا للتلاعب عن بعد، حيث يتحرك بشكل مستقل عبر الشاشة.

إن وجود وظائف التصيد هذه يخدم غرضين استراتيجيين في تسويق البرنامج. الأول ينطوي على جذب المشترين ذوي المواصفات الفنية الأقل، الذين يبحثون عن أدوات للتحرش الافتراضي أو استعراض القوة. أما الهدف الثاني فهو ذو طبيعة تكتيكية، إذ تعمل الاضطرابات البصرية كستار من الدخان. تعمل الفوضى الناتجة في الواجهة على تشتيت انتباه المستخدم أثناء عمل وحدات سرقة الملفات واستخراج البيانات في الخلفية.

آليات التهرب والتسويق على المنصات

وحدد خبراء الأمن السيبراني أوجه تشابه هيكلية عميقة بين التهديد الجديد والبرنامج الخبيث السابق، المعروف في السوق باسم WebRAT أو Salat Stealer. تشترك كلتا الأداتين في نفس تصميم الواجهة في لوحة الإدارة وتستخدمان كود المصدر الذي تم تطويره في لغة برمجة Go. كما يتبع نظام المبيعات الآلي، الذي يتم تشغيله من خلال الروبوتات، نفس نمط التشغيل. وبعد تلقي الانتقادات في المنتديات السرية حول نسخ الكود، أعاد المطورون صياغة الهوية المرئية واعتمدوا الاسم التجاري الجديد.

لقد انتقلت استراتيجية التسويق من منصات غامضة إلى شبكات بعيدة المدى. يدير منشئو المحتوى قناة Telegram نشطة، حيث يستضيفون هدايا مجانية لمفتاح الترخيص وينشرون استطلاعات الرأي لإبقاء المجرمين المهتمين منخرطين. تعمل القناة الموازية على موقع YouTube بمثابة عرض تقني، مع مقاطع فيديو توضح فعالية وظائف الغزو في البيئات الخاضعة للرقابة. يوفر المنشئ التلقائي القابل للتنفيذ للبرنامج الخبيث ميزات متقدمة تجعل عمل شركات مكافحة الفيروسات أكثر صعوبة. تشمل خيارات الحماية ما يلي:

  • تم تنفيذ الحظر الجغرافي لتقييد تنفيذ التعليمات البرمجية في مناطق معينة من العالم.
  • تكامل آليات مكافحة التصحيح التي توقف التحليل الفني لسلوك البرنامج.
  • أنظمة الكشف عن الأجهزة الافتراضية لمنع التشغيل في بيئات مختبر الأمان.
  • المسح المستمر للوكلاء وتطبيق تصحيحات التخفي التي تتجاوز دفاعات النظام الأصلية.

تعمل طبقات التشويش هذه على حماية الملف الضار أثناء مرحلة التوزيع الحرجة والثواني القليلة الأولى من التنفيذ على جهاز الضحية. يزيد الحاجز الفني من القيمة التجارية للمنتج بين المشغلين الذين يحتاجون إلى أدوات خفية للحملات الطويلة.

ناقلات الهجوم وسيناريو التوزيع العالمي

وتشير سجلات القياس عن بعد الحالية إلى أن محاولات الإصابة تتركز في الغالب في الأراضي الروسية. ومع ذلك، فإن نموذج الأعمال الذي يتبناه المبدعون لا يضع قيودًا جغرافية محددة على مشتري التراخيص. تسمح هذه الميزة التجارية لـ CrystalX RAT بالوصول إلى أجهزة الكمبيوتر في أي بلد، اعتمادًا فقط على الأهداف المحددة لكل مشغل يشتري الخدمة. لا يزال الباحثون يعملون على رسم خريطة لناقل العدوى الأولي المستخدم في الحملات الأخيرة.

يتطلب عدم الوضوح فيما يتعلق بطريقة التسليم الدقيقة للملف القابل للتنفيذ اهتمامًا متزايدًا من مسؤولي شبكات الشركة والمستخدمين المنزليين. تتضمن المشورة الفنية القياسية إبقاء أنظمة التشغيل والتطبيقات اليومية محدثة دائمًا بأحدث حزم الأمان. يساعد اعتماد حلول المراقبة المتقدمة في تحديد السلوكيات الشاذة، مثل محاولات الوصول عن بعد غير المصرح بها والتعديلات الصامتة على سجلات النظام الهامة.

Tags: الأمن السيبرانيالبرامج الضارة الخاصة بالاشتراكسرقة البياناتفأر كريستالكاسبيرسكي
انظر أيضاً
  1. تطلق PlayStation Days of Play 2026 صفقات أجهزة تصل قيمتها إلى 120 جنيهًا إسترلينيًا على وحدات التحكم والملحقات
  2. تسربت تصميمات بطل الرواية Persona 6 وتم تأكيد الصورة على أنها AI
  3. ينتقد ماسون كوكس غرامات AFL بسبب المحاكاة ويدعو إلى فرض عقوبات أكبر على المخالفين المتكررين
  4. يحدد تحليل خط 2026 أفضل سيارة دفع رباعي بين موديلات Forester وCrosstrek وLayback
  5. تقترح قائمة سبع ألعاب في علامة التبويب Xbox Game Pass Coming قريبًا ميزات جديدة لـ Xbox Games Showcase 2026
  6. تمت إضافة Donkey Kong 64 إلى Nintendo Switch Online + حزمة التوسيع في 4 يونيو باسم N64 Classic
  7. يتجنب بيلي سلاتر مناقشة ريس والش في حالة المنشأ بعد انتكاسة المارون
  8. توفي جايل دا سيلفا عن عمر يناهز 41 عامًا في حادث مروري في فرنسا
  9. Bunny Guys، لعبة مجانية من Witte Studio على Steam، تثير طعم الغضب وتضمن مراجعات إيجابية
  10. تشير الدراسة إلى البداية الباردة لجانيميد والتطور المتأخر لمجاله المغناطيسي
  11. يؤكد العلماء حدوث تباطؤ في دوران الأرض بمعدل غير مسبوق خلال 3.6 مليون سنة الماضية
  12. يؤكد دالي مشاركة موسى في لعبة State of Origin Game II إذا تعافى من إصابة في الفخذ
  13. تجربة لوكاس هيرينجتون في الدوري الأمريكي ضد ميسي تعد المدافع لكأس العالم
  14. تنفي شركة LG شائعات بيع قسم التلفزيون الخاص بها لشركة Hisense وتؤكد التزامها تجاه هذا القطاع
  15. GTA: اكتشف الألعاب الأربع من السلسلة المثالية للتجميع على القرص
  16. بوبوفيتش يعلن القائمة النهائية المكونة من 26 لاعبًا أسترالياً لكأس العالم FIFA
  17. تقوم Samsung بالتحقيق في Galaxy Watch 8 للتخفيف من فقدان العضلات لدى مستخدمي Ozempic وGLP-1
  18. تطلق شركة كوالكوم Snapdragon C لأجهزة الكمبيوتر المحمولة ARM بقيمة 300 دولار في Computex 2026، والتي تستهدف Linux
  19. يستبعد مدير إيسندون المؤقت دين سولومون التفكير في الحصول على منصب دائم قبل نهاية الموسم
  20. يمكن لضبط وحدة التحكم PS5 DualSense تصحيح الانحراف وتحسين الدقة على وحدة التحكم والكمبيوتر الشخصي
  21. تقام الجنازة الرسمية لنيل دانيهير في MCG في 10 يونيو لتكريم إرث المدافع عن مرض التصلب الجانبي الضموري (ALS)
  22. قالت الشرطة إن امرأة ألقي القبض عليها في ساو باولو باعت مقاطع فيديو لتعذيب الحيوانات بمبلغ يتراوح بين 20 إلى 50 يورو في أوروبا
  23. NRL تتحقق من صحة طرد آشلي كلاين لكالين بونجا في حالة المنشأ بعد التدخل على تولو كولا
  24. تعلن Google عن الإصدار التدريجي لميزة تغيير عنوان Gmail لجميع المستخدمين
  25. يبدأ برشلونة المفاوضات بشأن برناردو سيلفا بعد التعاقد مع أنتوني جوردون من نيوكاسل يونايتد