في عالم الجريمة السيبرانية، غالباً ما تحصل هجمات الفدية الكبرى على كل العناوين الرئيسية، ولكن الهجوم المدمر الحقيقي نادراً ما يبدأ بها. إنه يبدأ بصمت، مع لص رقمي صغير وغير مرئي يُعرف باسم "سارق المعلومات" (Info-Stealer). اليوم، سنضع تحت المجهر واحداً من أشهر وأخطر هذه البرامج في 2025: LummaC2.
بصفتي محللاً للتهديدات السيبرانية، يمكنني القول إن برامج مثل LummaC2 هي الوقود الذي يحرك اقتصاد الجريمة الإلكترونية بأكمله. إنها الأداة التي تفتح الأبواب أمام هجمات أكبر وأكثر تدميراً. في هذا التحليل المفصل، سنقوم بتشريح هذا البرنامج الخبيث، لنفهم كيف يصيب جهازك، وماذا يسرق بالضبط، وإلى أين تذهب بياناتك الثمينة.
المرحلة الأولى: العدوى - كيف يتسلل إلى جهازك؟
برنامج LummaC2 لا يخترق الأنظمة بأساليب معقدة، بل يعتمد على خداع المستخدم. أكثر طرق انتشاره شيوعاً هي:
البرامج المقرصنة (Cracked Software): يتم إخفاء البرنامج الخبيث داخل أدوات تفعيل (Keygen/Crack) للبرامج الشهيرة والألعاب التي يتم تحميلها من مواقع التورنت والمنتديات المشبوهة.
مرفقات البريد الإلكتروني الخبيثة: يصلك بريد إلكتروني يبدو مهماً (فاتورة، عرض وظيفي، مستند قانوني)، ويحتوي على ملف مضغوط (ZIP/RAR) يطلب منك تحميله. بمجرد فك الضغط وتشغيل الملف، تبدأ عملية الإصابة بصمت.
الإعلانات الخبيثة (Malvertising): يتم شراء مساحات إعلانية على مواقع الويب، وعندما تضغط على الإعلان، يتم توجيهك إلى صفحة تقوم بتنزيل البرنامج الخبيث تلقائياً.
المرحلة الثانية: السرقة - ماذا يبحث عنه بالضبط؟
بمجرد تشغيله، يبدأ LummaC2 في مسح الجهاز بسرعة وبشكل منهجي بحثاً عن الكنوز الرقمية. قائمته للتسوق تشمل:
كلمات المرور المحفوظة في متصفحات الويب: يستهدف جميع المتصفحات الشهيرة (Chrome, Firefox, Edge, Brave) ويسرق كل أسماء المستخدمين وكلمات المرور التي قمت بحفظها.
محافظ العملات المشفرة: يبحث عن ملفات المحافظ الرقمية لعملات مثل Bitcoin و Ethereum المخزنة على جهازك أو كامتدادات في المتصفح (مثل MetaMask و Exodus).
ملفات تعريف الارتباط (Session Cookies): هذه هي الجائزة الكبرى. سرقة هذه الملفات تسمح للمهاجم بالدخول إلى حساباتك (فيسبوك، جيميل، حسابات بنكية) دون الحاجة إلى كلمة المرور أو حتى رمز المصادقة الثنائية (2FA).
ملفات محددة: يمكن للمهاجمين تكوينه للبحث عن ملفات بأسماء معينة، مثل "password.txt" أو "private_key.txt".
معلومات النظام ولقطات الشاشة: يأخذ لقطة للشاشة الحالية ويرسل معلومات تفصيلية عن جهازك وموقعك الجغرافي.
المرحلة الثالثة: الإرسال - إلى أين تذهب بياناتك؟
بعد جمع كل هذه المعلومات، يقوم LummaC2 بضغطها في ملف واحد (يسمى "log") وإرسالها إلى خادم تحكم وسيطرة (C2 Server) يديره المهاجم.
وهنا يأتي الجزء الأكثر إثارة للقلق: نموذج العمل وراء هذا البرنامج هو "البرمجيات الخبيثة كخدمة" (Malware-as-a-Service). هذا يعني أن مطوري LummaC2 لا يستخدمونه بأنفسهم بالضرورة، بل يبيعون اشتراكات شهرية لمجرمين آخرين حول العالم. هؤلاء المجرمون يشترون بياناتك المسروقة ("logs") في أسواق الويب المظلم بأسعار تتراوح من 5 إلى 100 دولار، حسب قيمة البيانات.
تحليل الخبراء: لماذا هذا أخطر مما تتصور؟
الخطر الحقيقي يتجاوز مجرد سرقة حسابك على فيسبوك. هذه البيانات المسروقة هي نقطة البداية لهجمات أكبر:
اختراق الشركات: إذا أصيب جهاز موظف استخدمه للعمل من المنزل، فإن بيانات دخوله لشبكة الشركة تُباع لمجموعات متخصصة في شن هجمات الفدية. [هذه هي النقطة التي تربط سرقة بيانات فردية بهجمات الشركات الكبرى، ويمكن ربطها بمقالنا عن ثغرة Citrix كمثال على كيفية استغلال المهاجمين لنقاط الدخول التي يجدونها].
تصفير الحسابات البنكية: باستخدام ملفات تعريف الارتباط المسروقة، يمكن للمهاجم تجاوز إجراءات الأمان والدخول مباشرة إلى حسابك البنكي.
الابتزاز: يمكن استخدام المعلومات المسروقة لابتزاز الضحية.
كيف تحمي نفسك من هذه الوحوش الصامتة؟
توقف فوراً عن تحميل البرامج المقرصنة. هذا هو ناقل العدوى رقم واحد.
فعل المصادقة الثنائية (2FA) في كل مكان. هي أفضل دفاع ضد سرقة كلمات المرور وملفات تعريف الارتباط.
استخدم برنامج حماية قوي ومحدث (Antivirus/EDR). النسخ المجانية لا تكفي غالباً لاكتشاف هذه التهديدات المتقدمة.
لا تحفظ كلمات المرور الهامة في متصفحك. استخدم مدير كلمات مرور مخصص (Password Manager) فهو أكثر أماناً.
كن متشككاً للغاية تجاه المرفقات في البريد الإلكتروني.
تعليقات
إرسال تعليق