عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة Remus Stealer

Remus Stealer

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:

اكتسب برنامج سرقة المعلومات الجديد المعروف باسم REMUS اهتمامًا كبيرًا في أوساط الجريمة الإلكترونية نظرًا لسرعة تطوره، وتوسع نطاق ميزاته، وتزايد تشابهه مع عمليات البرمجيات الخبيثة الاحترافية كخدمة (MaaS). وقد سلط باحثو الأمن ومحللو البرمجيات الخبيثة الضوء على أوجه التشابه بين REMUS وبرنامج Lumma Stealer المعروف على نطاق واسع، لا سيما في تقنيات استهداف المتصفحات، وآليات سرقة بيانات الاعتماد، وقدرات تجاوز التشفير.

يُقدّم فحص 128 موقعًا إلكترونيًا سريًا مرتبطًا بعملية REMUS، خلال الفترة من 12 فبراير إلى 8 مايو 2026، رؤى قيّمة حول كيفية تسويق البرمجيات الخبيثة وصيانتها وتشغيلها داخل مجتمعات المجرمين الإلكترونيين. وشملت المواد التي جُمعت إعلانات، وإعلانات عن ميزات جديدة، وسجلات تحديثات، ومراسلات مع العملاء، ومناقشات تشغيلية، مما مكّن الباحثين من تتبع تطور المنصة وتحديد الأولويات التي شكّلت مسار تطويرها.

تكشف النتائج عن أكثر بكثير من مجرد حملة لسرقة المعلومات. يُظهر برنامج REMUS تحولاً أوسع نطاقاً يحدث داخل اقتصاد الجريمة الإلكترونية، حيث أصبحت عمليات البرامج الضارة تُشبه بشكل متزايد شركات البرمجيات الشرعية من خلال التحديثات المستمرة، ودعم العملاء، وتحسين العمليات، واستراتيجيات تحقيق الدخل طويلة الأجل.

تشير دورة التطوير العدوانية إلى نضج عمليات خدمات التنقل كخدمة (MaaS).

أظهرت عملية REMUS جدولًا زمنيًا مكثفًا وغير عادي للتطوير. فبدلاً من الترويج لمنتج برمجيات خبيثة ثابت، قام القائمون على العملية بإصدار تحسينات وتطويرات في جمع البيانات وميزات الإدارة بشكل مستمر خلال بضعة أشهر فقط.

شهد شهر فبراير 2026 الإطلاق التجاري الأولي للبرمجية الخبيثة. ركزت الحملات الترويجية المبكرة بشكل كبير على سهولة الاستخدام، وسرقة بيانات اعتماد المتصفح، وجمع ملفات تعريف الارتباط، وسرقة رموز ديسكورد، وإرسال الرسائل عبر تيليجرام، ووظائف إدارة السجلات. شددت لغة التسويق على الموثوقية وسهولة الوصول، بما في ذلك ادعاءات بأن البرمجية الخبيثة حققت معدلات استجابة ناجحة تصل إلى 90% تقريبًا عند استخدامها مع تشفير فعال وبنية تحتية لخادم وسيط. كما روّج القائمون على تشغيلها لخدمة دعم على مدار الساعة وطوال أيام الأسبوع، وبسطوا عملية الاستخدام، مما يشير إلى أن التسويق وتجربة المستخدم كانا من الأولويات الرئيسية منذ البداية.

شهد شهر مارس 2026 ذروة نشاط الحملة. وخلال هذه الفترة، توسعت البرمجية الخبيثة لتتجاوز سرقة بيانات الاعتماد المباشرة، لتشمل منصة تشغيلية أوسع. وقد أضافت التحديثات إمكانيات استعادة الرموز المميزة، وتتبع العمليات، ولوحات معلومات إحصائية، وفلترة السجلات المكررة، وتحسينات في رؤية أداة التحميل، بالإضافة إلى تحسينات في سير عمل تسليم رسائل تيليجرام. وركزت العديد من الإعلانات تحديدًا على إدارة الحملة والمراقبة التشغيلية بدلًا من التركيز على سرقة البيانات فقط، مما يشير إلى تحول استراتيجي نحو قابلية التوسع والإدارة.

كشف تحديث أبريل 2026 عن تركيز أكبر على استمرارية الجلسات وآليات المصادقة من جانب المتصفح. أضاف التحديث توافقًا مع بروتوكول SOCKS5 للخوادم الوكيلة، ووظائف مكافحة الأجهزة الافتراضية، واستهداف منصات الألعاب، وتحسين استعادة الرموز المميزة، وآليات جمع البيانات المتعلقة بمديري كلمات المرور. أشار أحد التحديثات صراحةً إلى جمع البيانات من IndexedDB لاستهداف إضافات المتصفح المرتبطة بـ 1Password وLastPass، بينما أشارت إعلانات أخرى إلى عمليات بحث متعلقة بـ Bitwarden. أبرزت هذه التطورات التركيز المتزايد على الحفاظ على الوصول المصادق عليه بدلاً من مجرد جمع أسماء المستخدمين وكلمات المرور.

بحلول أوائل مايو 2026، بدا أن الحملة قد انتقلت من مرحلة التوسع السريع إلى مرحلة الاستقرار التشغيلي. وركزت التحديثات المتبقية بشكل كبير على إصلاح الأخطاء، وجهود التحسين، وتحسينات الاستعادة، وتحسينات الإدارة، مما يشير إلى أن المنصة قد دخلت مرحلة الصيانة وقابلية التوسع.

ما وراء لومّا: ريموس تتطور إلى خدمة تجارية لمكافحة الجرائم الإلكترونية

كثيراً ما وصفت التقارير العامة برنامج REMUS بأنه خليفة أو نسخة متطورة تقنياً من برنامج Lumma Stealer. ووصف المحللون البرنامج الخبيث بأنه برنامج لسرقة المعلومات يعمل بنظام 64 بت، ويشترك مع Lumma في العديد من الخصائص، بما في ذلك سرقة بيانات الاعتماد التي تركز على المتصفح، وفحص الأجهزة الافتراضية، ووظائف تجاوز التشفير.

مع ذلك، تشير الاتصالات السرية إلى أن العملية تتجاوز بكثير مجرد البنية التقنية. فقد روّج مشغلو برنامج REMUS الخبيث باستمرار على أنه منتج إجرامي إلكتروني مُدار باحترافية، مدعوم بتحديثات مستمرة وتحسينات تشغيلية ودعم عملاء وقدرات جمع بيانات موسعة. وقد حاكى أسلوب التواصل هذا بيئات تطوير البرمجيات المشروعة، حيث يلعب التحكم في الإصدارات واستكشاف الأخطاء وإصلاحها وخطط تطوير الميزات دورًا حاسمًا في الحفاظ على العملاء.

أظهر التركيز المتكرر على معدلات نجاح التسليم، والموثوقية التشغيلية، وتحسين البنية التحتية، جهدًا واضحًا لبناء الثقة بين المشترين المحتملين والشركاء. وبدلًا من العمل كملف تنفيذي مستقل للبرمجيات الخبيثة، رسّخت REMUS مكانتها كمنصة إجرامية قابلة للتوسع، مصممة لدعم أنشطة الجريمة الإلكترونية المستدامة.

أصبحت سرقة الجلسات أكثر قيمة من جمع بيانات الاعتماد التقليدية

كان أحد أهم المواضيع التي لوحظت طوال حملة REMUS هو التركيز المتزايد على سرقة الجلسات واستمرارية الوصول الموثق.

تاريخيًا، ركز العديد من لصوص المعلومات بشكل أساسي على جمع أسماء المستخدمين وكلمات المرور. مع ذلك، أولى برنامج REMUS الخبيث اهتمامًا بالغًا لملفات تعريف الارتباط الخاصة بالمتصفح، ورموز المصادقة، والجلسات النشطة، وعمليات استعادة البيانات بمساعدة الخوادم الوكيلة، وبيانات المصادقة المخزنة في المتصفح. ومنذ المواد الترويجية الأولى، بدا أن التعامل مع الجلسات الموثقة أحد أهم نقاط قوة هذا البرنامج الخبيث.

يعكس هذا التوجه تحولاً أوسع نطاقاً في أسواق الجرائم الإلكترونية السرية. فقد أصبحت الجلسات المسروقة ذات قيمة متزايدة لقدرتها على تجاوز مطالبات المصادقة متعددة العوامل، وفحوصات التحقق من الأجهزة، وتنبيهات تسجيل الدخول، وأنظمة المصادقة القائمة على المخاطر. وبدلاً من الاعتماد كلياً على بيانات الاعتماد المسروقة لمحاولات تسجيل الدخول المستقبلية، يسعى المهاجمون بشكل متزايد إلى الوصول المباشر إلى البيئات التي تم التحقق من هوية مستخدميها مسبقاً.

أبرزت العديد من تحديثات برنامج REMUS على وجه الخصوص وظائف الاستعادة، والتوافق مع الخوادم الوكيلة، ودعم أنواع متعددة من الخوادم الوكيلة أثناء عمليات استعادة الرموز المميزة. تشير هذه الميزات بقوة إلى أن استمرارية الجلسة كانت عنصرًا أساسيًا في استراتيجية تشغيل البرمجيات الخبيثة.

استهدفت الحملة أيضاً المنصات التي تحظى فيها الجلسات النشطة بقيمة عالية، بما في ذلك ديسكورد، وستيم، ورايوت غيمز، والخدمات المرتبطة بتليغرام. وبفضل وظائف جمع واستعادة ملفات تعريف الارتباط الواسعة، بدا أن البرمجية الخبيثة مصممة ليس فقط لسرقة بيانات الاعتماد، بل للحفاظ على الوصول الموثق وتفعيله.

أصبحت برامج إدارة كلمات المرور ومساحة تخزين المتصفح أهدافًا رئيسية

كان أحد أهم التطورات في المراحل الأخيرة للحملة يتعلق بتخزين كلمات المرور على جانب المتصفح، والمرتبط بأنظمة إدارة كلمات المرور. وبحلول أبريل 2026، كان مشغلو REMUS يعلنون عن وظائف مرتبطة بآليات تخزين كلمات المرور في المتصفح، مثل Bitwarden و1Password وLastPass وIndexedDB.

تُمثل برامج إدارة كلمات المرور الحديثة مستودعات مُركّزة للغاية لبيانات الاعتماد ورموز المصادقة ومعلومات الحسابات الحساسة، مما يجعلها أهدافًا جذابة لعمليات الجرائم الإلكترونية. وتكتسب مراجع IndexedDB أهمية خاصة لأن إضافات المتصفح الحديثة وتطبيقات الويب تعتمد بشكل متكرر على التخزين المحلي للمتصفح للاحتفاظ بمعلومات الجلسة وبيانات التطبيق.

على الرغم من أن المنشورات التي تم تحليلها لا تؤكد بشكل مستقل نجاح فك تشفير خزائن كلمات المرور أو الاختراق المباشر لمديري كلمات المرور، إلا أنها توضح بوضوح أن تطوير REMUS قد تحول نحو جمع عناصر التخزين من جانب المتصفح المرتبطة ببيئات إدارة كلمات المرور.

يسلط تقرير ريموس الضوء على احترافية الجرائم الإلكترونية الحديثة

تقدم حملة REMUS مثالاً كاشفاً عن كيفية تشابه أنظمة MaaS الحديثة بشكل متزايد مع مؤسسات البرمجيات المهيكلة.

في جميع قنوات الاتصال تحت الأرض التي تم تحليلها، نشر المشغلون باستمرار تحديثات مُرقمة، وإرشادات لحل المشكلات، وإصلاحات للأخطاء، وتحسينات للميزات، وتحسينات للإحصائيات، وتحسينات في الرؤية التشغيلية. كما تشير الإشارات إلى العمال، ولوحات المعلومات، وتصنيف السجلات، ومراقبة اللوادر، ورؤية الإدارة إلى وجود بيئة متعددة المشغلين بأدوار تشغيلية متخصصة.

تضمنت المؤشرات الرئيسية لهيكل خدمات التنقل الاحترافية لشركة REMUS ما يلي:

  • تطوير مستمر للميزات ودورات تحديث مُرقمة.
  • دعم يركز على العملاء وتحسينات في سهولة الاستخدام
  • لوحات معلومات تشغيلية، وتتبع العمال، ومراقبة الإحصائيات
  • تم تصميم إجراءات استعادة الجلسة للوصول المستمر
  • استهداف التخزين من جانب المتصفح المرتبط بأنظمة إدارة كلمات المرور

يعكس برنامج REMUS التوجه المستقبلي لعمليات سرقة المعلومات

توضح عملية REMUS كيف يتطور سارقو المعلومات المعاصرون بسرعة من سرقة بيانات الاعتماد الأساسية إلى منصات تشغيلية شاملة مصممة للاستمرارية والأتمتة وقابلية التوسع وتحقيق الدخل على المدى الطويل.

في غضون أشهر قليلة فقط، تحولت الحملة من مجرد ترويج للبرمجيات الخبيثة إلى منظومة متكاملة للتسويق كخدمة (MaaS) تركز على الموثوقية التشغيلية، والحفاظ على الجلسات الموثقة، وقدرات جمع البيانات القابلة للتوسع. ويؤكد التركيز المتزايد على استعادة الرموز المميزة، واستعادة الجلسات بمساعدة الخوادم الوكيلة، وآليات المصادقة من جانب المتصفح، تحولاً أوسع نطاقاً في عمليات الجرائم الإلكترونية، من التركيز على سرقة كلمات المرور فقط إلى الحفاظ على الوصول المستمر إلى بيئات موثقة.

تنبثق عدة آثار أوسع نطاقاً من حملة REMUS:

  • أصبحت الجلسات الموثقة أكثر قيمة من بيانات الاعتماد المستقلة
  • يتم استهداف أنظمة التخزين من جانب المتصفح وأنظمة إدارة كلمات المرور بشكل متزايد
  • أصبحت عمليات خدمات التنقل كخدمة (MaaS) الآن تحاكي شركات البرمجيات المشروعة في هيكلها وسير عملها.
  • أصبحت قابلية التوسع التشغيلي والاستمرارية من الأولويات المركزية لجماعات الجرائم الإلكترونية

تؤكد حملة REMUS في نهاية المطاف حقيقة مهمة في مجال الأمن السيبراني: إن فهم كيفية قيام الجهات الفاعلة في مجال التهديدات بتسويق وتشغيل وتوسيع نطاق النظم البيئية للبرامج الضارة أصبح بنفس أهمية تحليل رمز البرامج الضارة نفسه.

الشائع

تنبيه بشأن إمكانية وصول البريد الإلكتروني: عملية...

التصيد الاحتيالي, رسائل إلكترونية مزعجة
يجب التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة، خاصةً تلك التي توحي بالاستعجال أو تطلب معلومات حساسة. غالبًا ما يُخفي مجرمو الإنترنت رسائل التصيد الاحتيالي على هيئة إشعارات شرعية من مزودي خدمات موثوقين، في محاولة لخداع المتلقين وحملهم على كشف بياناتهم الشخصية. تُعدّ رسائل "تنبيه إمكانية تسليم البريد الإلكتروني" مثالًا واضحًا على هذا الأسلوب. لا ترتبط هذه الرسائل بأي شركات أو مؤسسات أو...

Directsearchapp

المواقع المارقة, متصفحات الخاطفين, البرامج غير المرغوب فيها
يُعدّ حماية الأجهزة من التطبيقات المتطفلة وغير الموثوقة أمرًا بالغ الأهمية للحفاظ على الخصوصية والأمان على الإنترنت. غالبًا ما تُعرّض البرامج غير المرغوب فيها (PUPs) المستخدمين لمحتوى غير موثوق،...

الأكثر مشاهدة

جار التحميل...