شهد مشهد التهديدات السيبرانية تطوراً لافتاً مع الكشف عن برمجية خبيثة جديدة تُعرف باسم PXA Stealer، وهي برمجية تجسسية مكتوبة بلغة Python، استُخدمت ضمن حملة عالمية أطلق عليها الباحثون اسم “Ghost in the Zip”. هذه الحملة، التي ترصدها جهات أمنية منذ أواخر عام 2024، نجحت في سرقة بيانات من ضحايا في أكثر من 60 دولة، بما فيها الولايات المتحدة وكوريا الجنوبية وهولندا.
تتخفى هذه البرمجية عبر ملفات أرشيفية تُموّه على شكل صور PNG أو مستندات PDF، مرفقة بملفات تمويهية لتضليل المستخدمين والمحللين. وتُحمّل البرمجية الخبيثة عن طريق تقنية “التحميل الجانبي” (DLL Sideloading) باستخدام برامج موثوقة وموقعة رقمياً، مثل Haihaisoft PDF Reader أو إصدارات قديمة من Microsoft Word.
تعتمد الحملة على بنية أوامر وتحكم (C2) عبر منصة Telegram، وتستعين بخدمات Cloudflare Workers لنقل البيانات. تُستخرج أنواع مختلفة من المعلومات من الأجهزة المصابة، مثل كلمات المرور المحفوظة، وملفات تعريف الارتباط، ورموز الجلسات، والبيانات التلقائية، والمحافظ الرقمية، وبيانات النظام. وتُضغط البيانات في ملفات ZIP وتُنقل إلى قنوات يديرها المهاجمون لأغراض التخزين أو إعادة البيع.
التحليل الفني للحملة يُبرز عدة خصائص لافتة، منها:
- تحديد أكثر من 4000 عنوان IP لضحايا مختلفين
- توسيع الانتشار باستخدام تطبيقات موثوقة وموقعة رقمياً
- استخدام بنية Telegram وCloudflare وDropbox للبنية التحتية
- تنكر الحمولة الخبيثة تحت اسم “svchost.exe” للإفلات من الاكتشاف
التهديد الأخطر يكمن في تكامل هذا النوع من البرمجيات مع أسواق إلكترونية داخل تطبيق Telegram، حيث يُباع الوصول إلى البيانات المسروقة عبر نظام اشتراك إجرامي. هذا التكامل يُحوّل التهديد من مجرد برمجية خبيثة إلى منظومة متكاملة من الخدمات تشمل التوزيع، والإدارة، والتربح، ما يضع تحدياً جديداً أمام جهات الدفاع السيبراني.
يرى الخبراء أن مواجهة مثل هذه التهديدات لم تعد تقتصر على إيقاف الكود الخبيث فحسب، بل تتطلب تعطيل البنية التحتية والأنماط الاقتصادية التي تقوم عليها هذه المنظومات الخبيثة.
