كشف خبراء في أمن المعلومات عن حملة خبيثة جديدة، ولا تزال مستمرة تقوم على استغلال مجموعة من البرمجيات الشائعة والمألوفة، مثل Foxit PDF Editor، وAutoCAD، وJetBrains. إذ يعمد المهاجمون إلى توظيف برمجيات خبيثة معدّة للسرقة، بغرض الاستيلاء على معلومات البطاقات الائتمانية للمستخدمين، والحصول على تفاصيل تخص أجهزتهم المصابة، وفي الوقت نفسه، استعمالها كأداة للتعدين عبر تسخير الحواسيب المحمولة المصابة لتعدين العملات الرقمية.
وخلال ثلاثة أشهر فقط، نجحت كاسبرسكي في إبطال ما يزيد على 11 ألف محاولة للهجوم، لوحظ فيها تركز غالبية المستخدمين المتأثرين في دول البرازيل، والصين، وروسيا، والمكسيك، والإمارات العربية المتحدة، ومصر، والجزائر، وفيتنام، والهند، وسريلانكا.
في أغسطس من العام الجاري 2024، كشف فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي عن سلسلة من الهجمات التي انخرطت فيها مجموعة غير مألوفة سابقاً من برمجيات التعدين والسرقة الخبيثة، والتي أُطلق عليها اسم SteelFox.
ويتضمن ناقل الهجوم الابتدائي منشورات على المنتديات الرقمية ومتتبعات التورنت، حيث يجري التسويق لبرمجية الإسقاط الخبيثة SteelFox باعتبارها وسيلة لتفعيل منتجات برمجية مشروعة بالمجان. فتتنكر برمجيات الإسقاط تلك في هيئة أدوات لكسر تراخيص برامج شائعة معروفة، مثل Foxit PDF Editor، وJetBrains، وAutoCAD. وفي حين أنها تقدم ما تعد به من الناحية الوظيفية، إلى أنها في الوقت نفسه تستجلب برمجية خبيثة معقدة إلى حواسيب المستخدمين.
تتألف الحملة من مكوّنَين رئيسيَّين؛ وحدة السرقة، وأداة التعدين الرقمي. وخلالها، تجمع برمجيات SteelFox معلومات موسّعة من حواسيب الضحايا، بما يشمله ذلك من بيانات التصفح، وبيانات اعتماد الحسابات، ومعلومات البطاقات الائتمانية، وتفاصيل حول البرمجيات المثبتة وحلول مكافحة الفيروسات الموجودة. وبمقدورها أيضاً الوصول إلى كلمات مرور شبكات الواي فاي، ومعلومات النظام، وبيانات المنطقة الزمنية. وفوق كل ذلك، يستهدف المهاجمون استعمال نسخة محوّرة من أداة التعدين الرقمي مفتوحة المصدر، XMRig، لاستغلال الأجهزة المصابة في تعدين العملات الرقمية، مستهدفين عملة Monero على الأغلب.
يظهر من بحث كاسبرسكي أن الحملة نشطة منذ فبراير من عام 2023 المنصرم على الأقل، وتستمر بكونها مصدر تهديد حتى الآن. وخلال عملياتها التشغيلية، لم يغيّر المجرمون الرقميون المسؤولون عن حملة SteelFox في خصائصها الوظيفية كثيراً، إلا أنهم عملوا على تعديل أساليبها وكودها لتفادي الانكشاف. وتعليقاً على ذلك، عقب ديمتري جالوف، رئيس مركز الأبحاث لروسيا ورابطة الدول المستقلة في فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي، قائلاً: «لقد نوّع المهاجمون نواقل العدوى لديهم تباعاً، مستهدفين بادئ الأمر مستخدمي Foxit Reader. وحالما تيقنوا من نجاح الحملة الخبيثة، اتجهوا لتوسيع نطاق وصولهم ليشمل أدوات كسر التراخيص لمنتجات JetBrains. وبعد ثلاثة أشهر، بدؤوا باستغلال اسم وسمعة AutoCAD أيضاً. ولا تزال الحملة نشطة حتى الآن، ونتوقع منهم الشروع بنشر برمجياتهم الخبيثة تحت ستار مزيد من المنتجات المعروفة الأخرى.»
تنفذ مجموعة SteelFox عملياتها على نطاق واسع بشكل يؤثر على جميع المستخدمين الذين يتعاملون مع البرمجيات المخترَقة. وخلال الفترة الممتدة من أغسطس إلى نهاية أكتوبر، اكتشفت حلول كاسبرسكي حوالي 11,000 هجوم، وتركّزت أغلبية المستخدمين المتأثرين في كل من دول البرازيل، والصين، وروسيا، والمكسيك، والإمارات العربية المتحدة، ومصر، والجزائر، وفيتنام، والهند، وسريلانكا.