ثلث حالات الإصابة ببرمجيات سرقة المعلومات تبدأ من المجلدات المؤقتة
أظهر بحث حديث صادر عن استخبارات البصمة الرقمية (DFI) التابعة لكاسبرسكي أن أكثر من ثلث حالات الإصابة ببرمجيات سرقة المعلومات تنجم عن قيام المستخدمين بتشغيل ملفات من مجلدات المتصفح المؤقتة، وهذا يشير إلى أن تصرفات المستخدمين ما زالت تمثل أحد أبرز أسباب سرقة بيانات الاعتماد. وبيّنت النتائج أن 32% فقط من هذه الهجمات تستخدم تقنيات متقدمة مثل حقن العمليات وأساليب «الاعتماد على أدوات النظام الأصلية» (Living-off-the-Land)، والتي تُعد سمة مميزة للبرمجيات الخبيثة المتقدمة.
سرقة المعلومات
حلل خبراء استخبارات البصمة الرقمية في كاسبرسكي خمسة ملايين سجل مرتبط ببرمجيات سرقة المعلومات تم اكتشافها على الشبكة المظلمة خلال عام 2025. وتضمنت هذه السجلات معلومات مسروقة من أجهزة تم اختراقها، بما في ذلك بيانات الاعتماد، وملفات تعريف الارتباط للمتصفح، والبيانات الوصفية للنظام، كما أتاحت تحديد مواقع وجود الملفات الخبيثة الأصلية على الأجهزة المصابة.
وتبيّن أن أكثر المواقع شيوعاً كان دليل الملفات المؤقتة في نظام ويندوز \C:\Users\AppData\Local\Temp والذي شكّل ما يقارب 35% من إجمالي الحالات التي تم رصدها. ويُستخدم هذا المجلد عادةً لتخزين الملفات المحمّلة من الإنترنت قبل أن يقوم المستخدم بحفظها يدوياً، كما أن نسبة ملحوظة من الإصابات تحدث نتيجة قيام المستخدمين بتشغيل الملفات التي تم تحميلها مباشرة، دون حاجة المهاجمين إلى استخدام تقنيات إخفاء أو تجاوز متقدمة.
وجاء الموقع C:\Windows\Microsoft.NET\Framework\ في المرتبة الثانية من حيث الانتشار بنسبة تقارب 32% من الحالات. ويرتبط هذا المسار بتقنيات حقن العمليات وأساليب الاعتماد على أدوات النظام الأصلية، حيث تستغل البرمجيات الخبيثة العمليات النظامية لتفادي الرصد الأمني. وغالباً ما يُرصد هذا السلوك في سلالات متطورة من برمجيات سرقة المعلومات، بما في ذلك Lumma.
تكشف نتائج التحليل أن الإصابة بهذا النوع من البرمجيات غالباً ما تكون مرتبطة بسلوكين خطيرين لدى المستخدمين، وهما: تحميل البرمجيات من مصادر غير موثوقة، ومحاولة تفعيل البرامج بطريقة غير نظامية. ففي كثير من الحالات، يتبع الضحايا إرشادات صادرة عن الجهات المهاجمة، بما في ذلك تعطيل حلول الحماية قبل تشغيل الملفات الضارة. وأشار التحليل إلى أن العديد من هذه الملفات كانت مُخفاة في صورة برامج نظامية أو أدوات تفعيل أو تعديلات خاصة بالألعاب. ورغم استمرار استخدام تعديلات الألعاب كوسيلة شائعة لجذب الضحايا، فإن المهاجمين باتوا يعيدون استخدام الأساليب نفسها لنشر مختلف أنواع البرمجيات الخبيثة.
يقول سيرجي شيربل، الخبير في استخبارات البصمة الرقمية في كاسبرسكي: «سجلت برمجيات سرقة المعلومات نمواً كبيراً خلال عام 2025، مع ارتفاع معدلات الإصابة بنسبة 59% مقارنة بالعام السابق. ويؤكد تحليلنا أن سلوكيات المستخدمين ما زالت سبباً أساسياً في العديد من هذه الاختراقات. كما أن تشغيل البرمجيات من مجلدات التحميل المؤقتة يشير إلى أن المستخدمين يقومون غالباً بتشغيل الملفات فور تحميلها. وفي كثير من الحالات، لا يعتمد المهاجمون على أساليب معقدة، بل يكفي إقناع المستخدم بتشغيل ملف واحد فقط.»
بالإضافة إلى السمات السلوكية لدى المستخدمين، برزت أنماط تسمية مميزة عبر الفئات المختلفة من برمجيات سرقة المعلومات؛ إذ تميل برمجية Lumma إلى استخدام أسماء عامة لملفات التثبيت، إلى جانب تقنيات إخفاء التعليمات البرمجية عبر .NET وحقن العمليات. أما Vidar فتأتي غالباً على هيئة إصدارات من Bootstrapper.exe وتعتمد على أدوات تحميل تقليدية. بينما تعتمد Stealc نهجاً هجيناً يجمع بين أسماء ذات دلالة مثل Licence_Version_Loader.exe إلى جانب أسماء ملفات عشوائية مُولدة تلقائياً. في المقابل، تتميز RisePro بتكرار استخدام أسماء ملفات محددة مثل MPGPH.exe و MSIUpdater.exe.
التقرير الكامل متاح عبر الرابط التالي.
