كشف خبراء كاسبرسكي عن حملة خبيثة جديدة، ولا تزال مستمرة تقوم على استغلال مجموعة من البرمجيات الشائعة والمألوفة، مثل Foxit PDF Editor، وAutoCAD، وJetBrains، إذ يعمد المهاجمون إلى توظيف برمجيات خبيثة معدة للسرقة، بغرض الاستيلاء على معلومات البطاقات الائتمانية للمستخدمين.

والحصول على تفاصيل تخص أجهزتهم المصابة، وفي الوقت نفسه، استعمالها كأداة للتعدين عبر تسخير الحواسيب المحمولة المصابة لتعدين العملات الرقمية.

وبغضون ثلاثة أشهر فقط نجحت كاسبرسكي في إبطال ما يزيد على 11,000 محاولة للهجوم، لوحظ فيها تركز غالبية المستخدمين المتأثرين في دول البرازيل، والصين، وروسيا، والمكسيك، والإمارات، ومصر، والجزائر، وفيتنام، والهند، وسريلانكا.

في أغسطس من العام الجاري 2024 كشف فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي عن سلسلة من الهجمات، التي انخرطت فيها مجموعة غير مألوفة سابقاً من برمجيات التعدين والسرقة الخبيثة، والتي أطلق عليها اسم SteelFox.

ويتضمن ناقل الهجوم الابتدائي منشورات على المنتديات الرقمية ومتتبعات التورنت، حيث يجري التسويق لبرمجية الإسقاط الخبيثة SteelFox باعتبارها وسيلة لتفعيل منتجات برمجية مشروعة بالمجان.

فتتنكر برمجيات الإسقاط تلك في هيئة أدوات لكسر تراخيص برامج شائعة معروفة، مثل Foxit PDF Editor، وJetBrains، وAutoCAD، وفي حين أنها تقدم ما تعد به من الناحية الوظيفية، إلى أنها في الوقت نفسه تستجلب برمجية خبيثة معقدة إلى حواسيب المستخدمين.

وتتألف الحملة من مكونين رئيسيين؛ وحدة السرقة، وأداة التعدين الرقمي، وخلالها تجمع برمجيات SteelFox معلومات موسعة من حواسيب الضحايا، بما يشمله ذلك من بيانات التصفح، وبيانات اعتماد الحسابات، ومعلومات البطاقات الائتمانية، وتفاصيل حول البرمجيات المثبتة وحلول مكافحة الفيروسات الموجودة.

وبمقدورها أيضاً الوصول إلى كلمات مرور شبكات الواي فاي، ومعلومات النظام، وبيانات المنطقة الزمنية. وفوق كل ذلك يستهدف المهاجمون استعمال نسخة محورة من أداة التعدين الرقمي مفتوحة المصدر، XMRig، لاستغلال الأجهزة المصابة في تعدين العملات الرقمية، مستهدفين عملة Monero على الأغلب.

يظهر من بحث كاسبرسكي أن الحملة نشطة منذ فبراير من عام 2023 المنصرم على الأقل، وتستمر بكونها مصدر تهديد حتى الآن، وخلال عملياتها التشغيلية لم يغيّر المجرمون الرقميون المسؤولون عن حملة SteelFox في خصائصها الوظيفية كثيراً، إلا أنهم عملوا على تعديل أساليبها وكودها لتفادي الانكشاف.

وتعليقاً على ذلك عقب ديمتري جالوف، رئيس مركز الأبحاث لروسيا ورابطة الدول المستقلة في فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي، قائلاً: «لقد نوّع المهاجمون نواقل العدوى لديهم تباعاً، مستهدفين بادئ الأمر مستخدمي Foxit Reader، وحالما تيقنوا من نجاح الحملة الخبيثة اتجهوا لتوسيع نطاق وصولهم، ليشمل أدوات كسر التراخيص لمنتجات JetBrains.

وبعد ثلاثة أشهر بدأوا باستغلال اسم وسمعة AutoCAD أيضاً. ولا تزال الحملة نشطة حتى الآن، ونتوقع منهم الشروع بنشر برمجياتهم الخبيثة تحت ستار مزيد من المنتجات المعروفة الأخرى».