أظهر بحث حديث صادر عن استخبارات البصمة الرقمية (DFI) التابعة لكاسبرسكي أن أكثر من ثلث حالات الإصابة ببرمجيات سرقة المعلومات تنجم عن قيام المستخدمين بتشغيل ملفات من مجلدات المتصفح المؤقتة، وهذا يشير إلى أن تصرفات المستخدمين ما زالت تمثل أحد أبرز أسباب سرقة بيانات الاعتماد. وبيّنت النتائج أن 32% فقط من هذه الهجمات تستخدم تقنيات متقدمة مثل حقن العمليات وأساليب «الاعتماد على أدوات النظام الأصلية» (Living-off-the-Land)، والتي تُعد سمة مميزة للبرمجيات الخبيثة المتقدمة.
حلل خبراء استخبارات البصمة الرقمية في كاسبرسكي خمسة ملايين سجل مرتبط ببرمجيات سرقة المعلومات تم اكتشافها على الشبكة المظلمة خلال عام 2025. وتضمنت هذه السجلات معلومات مسروقة من أجهزة تم اختراقها، بما في ذلك بيانات الاعتماد، وملفات تعريف الارتباط للمتصفح، والبيانات الوصفية للنظام، كما أتاحت تحديد مواقع وجود الملفات الخبيثة الأصلية على الأجهزة المصابة.
وتبيّن أن أكثر المواقع شيوعاً كان دليل الملفات المؤقتة في نظام ويندوز \C:\Users\AppData\Local\Temp والذي شكّل ما يقارب 35% من إجمالي الحالات التي تم رصدها. ويُستخدم هذا المجلد عادةً لتخزين الملفات المحمّلة من الإنترنت قبل أن يقوم المستخدم بحفظها يدوياً، كما أن نسبة ملحوظة من الإصابات تحدث نتيجة قيام المستخدمين بتشغيل الملفات التي تم تحميلها مباشرة، دون حاجة المهاجمين إلى استخدام تقنيات إخفاء أو تجاوز متقدمة.
وجاء الموقع C:\Windows\Microsoft.NET\Framework\ في المرتبة الثانية من حيث الانتشار بنسبة تقارب 32% من الحالات. ويرتبط هذا المسار بتقنيات حقن العمليات وأساليب الاعتماد على أدوات النظام الأصلية، حيث تستغل البرمجيات الخبيثة العمليات النظامية لتفادي الرصد الأمني. وغالباً ما يُرصد هذا السلوك في سلالات متطورة من برمجيات سرقة المعلومات، بما في ذلك Lumma.
تكشف نتائج التحليل أن الإصابة بهذا النوع من البرمجيات غالباً ما تكون مرتبطة بسلوكين خطيرين لدى المستخدمين، وهما: تحميل البرمجيات من مصادر غير موثوقة، ومحاولة تفعيل البرامج بطريقة غير نظامية. ففي كثير من الحالات، يتبع الضحايا إرشادات صادرة عن الجهات المهاجمة، بما في ذلك تعطيل حلول الحماية قبل تشغيل الملفات الضارة. وأشار التحليل إلى أن العديد من هذه الملفات كانت مُخفاة في صورة برامج نظامية أو أدوات تفعيل أو تعديلات خاصة بالألعاب. ورغم استمرار استخدام تعديلات الألعاب كوسيلة شائعة لجذب الضحايا، فإن المهاجمين باتوا يعيدون استخدام الأساليب نفسها لنشر مختلف أنواع البرمجيات الخبيثة.
يقول سيرجي شيربل، الخبير في استخبارات البصمة الرقمية في كاسبرسكي: «سجلت برمجيات سرقة المعلومات نمواً كبيراً خلال عام 2025، مع ارتفاع معدلات الإصابة بنسبة 59% مقارنة بالعام السابق. ويؤكد تحليلنا أن سلوكيات المستخدمين ما زالت سبباً أساسياً في العديد من هذه الاختراقات. كما أن تشغيل البرمجيات من مجلدات التحميل المؤقتة يشير إلى أن المستخدمين يقومون غالباً بتشغيل الملفات فور تحميلها. وفي كثير من الحالات، لا يعتمد المهاجمون على أساليب معقدة، بل يكفي إقناع المستخدم بتشغيل ملف واحد فقط.»
بالإضافة إلى السمات السلوكية لدى المستخدمين، برزت أنماط تسمية مميزة عبر الفئات المختلفة من برمجيات سرقة المعلومات؛ إذ تميل برمجية Lumma إلى استخدام أسماء عامة لملفات التثبيت، إلى جانب تقنيات إخفاء التعليمات البرمجية عبر .NET وحقن العمليات. أما Vidar فتأتي غالباً على هيئة إصدارات من Bootstrapper.exe وتعتمد على أدوات تحميل تقليدية. بينما تعتمد Stealc نهجاً هجيناً يجمع بين أسماء ذات دلالة مثل Licence_Version_Loader.exe إلى جانب أسماء ملفات عشوائية مُولدة تلقائياً. في المقابل، تتميز RisePro بتكرار استخدام أسماء ملفات محددة مثل MPGPH.exe و MSIUpdater.exe.
التقرير الكامل متاح عبر الرابط التالي.
توصي كاسبرسكي المؤسسات باتباع الخطوات التالية للحد من مخاطر الإصابة ببرمجيات سرقة المعلومات:
● الاستفادة من خدمات الحماية الرقمية الشاملة التي تراقب الأصول الرقمية للمؤسسة، وتكشف التهديدات المنتشرة عبر شبكة الإنترنت المفتوحة والعميقة والمظلمة، مثل Kaspersky Digital Footprint Intelligence.
● تمكين خبراء أمن المعلومات من الحصول على رؤية أوضح وأكثر تفصيلاً حول التهديدات السيبرانية الموجهة ضد المؤسسة. وتوفر منصة Kaspersky Threat Intelligence أحدث المعلومات والتحليلات اللازمة لدعم فرق الأمن خلال جميع مراحل إدارة الحوادث، بما يساهم في تحديد المخاطر السيبرانية بسرعة وكفاءة.
ولضمان مستوى أعلى من الأمان الرقمي، توصي كاسبرسكي المستخدمين بما يلي:
● تنزيل التطبيقات والبرمجيات حصراً من المصادر الرسمية والموثوقة، وتجنب النسخ المقرصنة، وأدوات التفعيل غير القانونية، وبرامج التثبيت غير الرسمية.
● تثبيت حل أمني متقدم على جميع الأجهزة المكتبية والمحمولة، مثل Kaspersky Premium، لما يوفره من حماية استباقية وتنبيهات فورية ضد التهديدات المحتملة.
● التعامل مع البيانات الحساسة بحذر، وعدم حفظ كلمات المرور أو عبارات استرداد الحسابات في تطبيقات الملاحظات أو ألبومات الصور، والاستعانة بمدير كلمات مرور متخصص وموثوق لإدارتها مثل Kaspersky Password Manager.
● تجنب إيقاف برامج الحماية أثناء تثبيت أي برنامج، والحذر عند تحميل إضافات الألعاب أو أدوات الغش أو البرامج المساعدة من جهات خارجية.
● تحديث أنظمة التشغيل والتطبيقات بشكل دوري واستخدام كلمات مرور قوية وفريدة لكل خدمة، مع تفعيل المصادقة متعددة العوامل كلما كان هذا ممكناً.
