تسرق بيانات وملفات جلسات التصفح المفتوحة
برمجية خبيثة جديدة تستهدف «Chrome» و«Edge» و«Firefox»
نشر موقع «فوربس» تقريراً عن برمجية خبيثة جديدة (Malware) تحمل اسم «ستيلكرافت» (SteelCraft)، تكتسح الإنترنت حالياً وتستهدف متصفحات Chrome وEdge وFirefox على نظام ويندوز وماك. والأمر الذي يجعلها خطيرة بشكل خاص هو قدرتها على تجاوز المصادقة الثنائية (2FA) عن طريق سرقة ما يُسمى بـ«كوكيز الجلسة المفتوحة» (session cookies) وملفات الـ«توكن» (tokens) من المتصفح، وهذا يسمح للمهاجم بالدخول إلى حسابات الضحية (بريد إلكتروني، بنك، وسائل تواصل) كما لو كان هو نفسه، دون الحاجة إلى كلمة المرور أو رمز 2FA.
ووفقاً لشركة الأمن السيبراني «بروف بوينت» (Proofpoint) التي اكتشفت البرنامج، فإن «ستيلكرافت» يُوزع عبر رسائل فيسبوك وواتسآب المخترقة، وعبر إعلانات خبيثة في محركات البحث. بمجرد أن ينقر المستخدم على رابط مصاب، يتم تحميل ملف PDF مزيف أو ملف إكسيل يحوي ماكرو يثبت البرنامج الخبيث.
وتشمل قدرات البرنامج:
• سرقة الجلسات: ينسخ جميع ملفات تعريف الارتباط (cookies) من مجلد المتصفح، خاصة تلك الخاصة بمواقع جيميل، أوتلوك، فيسبوك، تويتر، باي بال، والمصارف. الجلسة المفتوحة قد تظل صالحة لساعات أو أيام بعد تسجيل الخروج.
• تجاوز 2FA: بما أن المهاجم يستخدم الجلسة المفتوحة مباشرة (وليس كلمة المرور)، فإن نظام 2FA لا يُطلب لأن النظام يعتقد أن المستخدم الحقيقي هو من يصل بالفعل.
• استمرارية: يضيف البرنامج نفسه إلى بدء التشغيل (startup) ويحاول تثبيت برامج تجسس إضافية (keyloggers، برامج فدية).
• استهداف جميع المتصفحات: نسخة معدلة تستهدف Firefox (الذي يخزن ملفات الجلسة بشكل مختلف) تم رصدها في 3 أبريل 2026.
البرنامج ينتشر بسرعة: خلال أسبوعين، أصاب ما يقدر بـ 500 ألف جهاز حول العالم، معظمها في الولايات المتحدة وأوروبا والهند. شركات الأمن تحث المستخدمين على:
• تحديث المتصفحات: أحدث إصدارات Chrome وEdge وFirefox تحوي تحسينات تمنع قراءة ملفات الجلسة من مجلدات المتصفح بسهولة.
• استخدام مدير كلمات مرور خارجي: بدلاً من حفظ كلمات المرور في المتصفح.
• تسجيل الخروج من المواقع الحساسة: لا تبقِ جلسات مصرفية مفتوحة لأكثر من بضع ساعات.
• تفعيل وضع الحماية في المتصفح (sandbox) الذي يمنع البرامج الخبيثة من الوصول إلى ملفات المتصفح.
وتعمل شركتي غوغل ومايكروسوفت ومؤسسة موزيلا حالياً على صياغة تحديثات طارئة لسد الثغرة التي يستغلها «ستيلكرافت». لكن خبراء يحذرون من أن هذه التقنية (سرقة الجلسة) ليست جديدة، لكنها أصبحت أكثر تطوراً وسهولة في الاستخدام، وقد تكون بداية موجة جديدة من الهجمات التي تجعل 2FA غير كافية.
والحل الأمثل حالياً هو استخدام مفاتيح الأمان الفيزيائية (security keys مثل YubiKey) التي لا يمكن تجاوزها عبر سرقة الجلسة.
