حملة احتيالية نشطة لسرقة المعلومات والعملات المشفرة.. تعرف عليها

اكتشفت مركز الأبحاث الروسي كاسبرسكي حملة احتيالية عبر الإنترنت تهدف لسرقة العملات المشفرة والمعلومات الحساسة من خلال استغلال مواضيع شائعة مثل الويب 3، والعملات المشفرة، والذكاء الاصطناعي، والألعاب عبر الإنترنت، وغيرها.

تستهدف الحملة ضحايا من جميع أنحاء العالم، ويُعتقد أن مجرمين سيبرانيين ناطقين باللغة الروسية يقودونها لنشر برمجيات سرقة المعلومات وبيانات الحافظة.

اكتشف فريق للاستجابة للطوارئ العالمية حملة احتيالية تستهدف مستخدمي نظامي التشغيل Windows وmacOS في جميع أنحاء العالم، وذلك بهدف سرقة العملات المشفرة والمعلومات الشخصية، حيث يستغل المهاجمون مواضيع شائعة لجذب الضحايا بواسطة مواقع إلكترونية مزيفة تحاكي تصميم و واجهة العديد من الخدمات المشروعة.

ومن بين الحالات الأخيرة، قلدت هذه المواقع منصة عملات مشفرة، ولعبة تقمص أدوار عبر الإنترنت، ومترجماً مدعوماً بالذكاء الاصطناعي. وعلى الرغم من وجود اختلافات بسيطة في عناصر المواقع الخبيثة مثل الاسم والرابط، إلا أنها تبدو محسنة ومتطورة، مما يزيد من احتمال وقوع هجمة ناجحة.

يتم استدراج الضحايا للتفاعل مع هذه الإعدادات المزيفة من خلال التصيد الاحتيالي، وقد صُممت المواقع المزيفة لخداع الضحايا ودفعهم لتقديم معلومات حساسة، مثل مفاتيح محفظة العملات المشفرة، أو تنزيل البرمجيات الخبيثة.

بعد ذلك، يمكن للمهاجمين إما الاتصال بمحافظ العملات المشفرة الخاصة بالضحايا من خلال الموقع المزيف واستنزاف أموالهم، أو سرقة بيانات اعتماد مختلفة، وتفاصيل المحفظة، وغيرها من المعلومات بواسطة برمجيات سرقة المعلومات.

تمكنت كاسبرسكي من اكتشاف سلاسل محددة في الكود الخبيث المُرسل لخوادم المهاجمين في روسيا.

وظهرت كلمة «ماموث» التي تستخدمها مصادر التهديد الروسية بمعنى «الضحية» في كل من اتصالات الخادم وملفات تنزيل البرمجيات الخبيثة.

وأطلقت كاسبرسكي على الحملة اسم Tusk (ناب) للتأكيد على تركيزها على المكاسب المالية، حيث شبهت الحملة الضحايا بالماموث الذي يتم اصطياده من أجل أنيابه الثمينة.

تنشر الحملة برمجيات سرقة المعلومات مثل Danabot وStealc، بجانب برمجيات التلاعب بالحافظة مثل نسخة مفتوحة المصدر مكتوبة بلغة Go (تختلف البرمجيات الخبيثة حسب موضوع الحملة).

وصُممت برمجيات سرقة المعلومات لسرقة المعلومات الحساسة مثل بيانات الاعتماد، بينما تقوم برمجيات التلاعب بالحافظة بمراقبة محتوى الحافظة باستمرار. وبمجرد نسخ عنوان محفظة العملات المشفرة إلى الحافظة، تقوم برمجية التلاعب بالحافظة باستبداله بعنوان خبيث.

يتم استضافة ملفات تحميل البرمجيات الخبيثة عبر منصة Dropbox وبمجرد تنزيل هذه الملفات، تواجه الضحايا واجهات سهلة الاستخدام تخفي البرمجيات الخبيثة، وتطلب منهم إما تسجيل الدخول، أو إنشاء حساب، أو ببساطة البقاء على صفحة ثابتة. وفي هذه الأثناء، يتم تنزيل الملفات الخبيثة والحمولات المتبقية تلقائياً وتثبيتها على أنظمتهم.