Darktrace تحذر من عمليات الاحتيال الهندسية الاجتماعية التي تستخدم البرمجيات الخبيثة لسرقة العملات المشفرة

حذر الباحثون في شركة الأمن السيبراني دارك تريس من أن المهاجمين يستخدمون أساليب هندسة اجتماعية متطورة بشكل متزايد لإصابة الضحايا ببرمجيات خبيثة تسرق العملات المشفرة.

في مدونته الأخيرة، قدم الباحثون في Darktrace تفاصيل حملة معقدة حيث تم العثور على المحتالين يقومون بانتحال شخصيات الشركات الناشئة في مجال الذكاء الاصطناعي والألعاب وWeb3 لخداع المستخدمين وتحفيزهم على تنزيل البرمجيات الخبيثة.

تعتمد الخطة على حسابات X الموثوقة والمخترقة، بالإضافة إلى وثائق المشروع المستضافة على منصات شرعية، لإنشاء وهم بالشرعية.

وفقًا للتقرير، عادةً ما تبدأ الحملة بانتحال شخصيات تتواصل مع ضحايا محتملين على X أو تيليجرام أو ديسكورد. متظاهرين بأنهم ممثلون لشركات ناشئة جديدة، يقدمون حوافز مثل المدفوعات بالعملات المشفرة مقابل اختبار البرمجيات.

يتم توجيه الضحايا بعد ذلك إلى مواقع شركات مصقولة مصممة لتقليد الشركات الناشئة الشرعية، كاملة مع أوراق بيضاء، وخطط طريق، وإدخالات GitHub، وحتى متاجر بضائع مزيفة.

بمجرد أن يقوم الهدف بتحميل التطبيق الخبيث، تظهر شاشة تحقق من Cloudflare، حيث تقوم البرمجيات الخبيثة بهدوء بجمع معلومات النظام مثل تفاصيل وحدة المعالجة المركزية، عنوان MAC، ومعرّف المستخدم. تُرسل هذه المعلومات، جنبًا إلى جنب مع رمز CAPTCHA، إلى خادم المهاجم لتحديد ما إذا كان النظام هدفًا صالحًا.

إذا نجح التحقق، يتم تسليم حمولة المرحلة الثانية، والتي عادةً ما تكون برنامج سرقة المعلومات، بشكل خفي، مما يستخرج بعد ذلك البيانات الحساسة، بما في ذلك بيانات اعتماد محفظة العملات المشفرة.

تم الكشف عن كل من إصدارات Windows وmacOS من البرمجيات الخبيثة، مع العلم أن بعض متغيرات Windows معروفة باستخدام شهادات توقيع الشيفرة المسروقة من شركات شرعية.

وفقًا لدركترايس، فإن الحملة تشبه الأساليب المستخدمة من قبل مجموعات "ترافير"، وهي شبكات جريمة إلكترونية تتخصص في توليد تثبيتات البرمجيات الخبيثة من خلال المحتوى المخادع وتلاعب وسائل التواصل الاجتماعي.

بينما لا يزال المهاجمون غير معروفين، يعتقد الباحثون أن الأساليب المستخدمة تتفق مع تلك التي لوحظت في الحملات المنسوبة إلى CrazyEvil، وهي مجموعة معروفة باستهداف المجتمعات المتعلقة بالعملات المشفرة.

"كتبت Darktrace أن "CrazyEvil وفرقهم الفرعية ينشئون شركات برمجيات مزيفة، مشابهة لتلك الموصوفة في هذه المدونة، مستخدمين تويتر وMedium لاستهداف الضحايا"، مضيفة أن المجموعة تقدر أنها حققت "ملايين الدولارات من الإيرادات من نشاطها الضار."

تهديد متكرر

تم الكشف عن حملات مماثلة من البرمجيات الخبيثة في عدة مناسبات على مدار هذا العام، حيث تم العثور على عملية مرتبطة بكوريا الشمالية تستخدم تحديثات زوم مزيفة لاختراق أجهزة macOS في شركات العملات الرقمية.

يُزعم أن المهاجمين كانوا يقومون بنشر سلالة جديدة من البرمجيات الخبيثة تُدعى "NimDoor"، تم تسليمها من خلال تحديث SDK ضار. تم تصميم حزمة الهجوم متعددة المراحل لاستخراج بيانات محفظة العملات، وبيانات المتصفح، وملفات تليجرام المشفرة مع الحفاظ على الاستمرارية على النظام.

في حالة أخرى، تم العثور على مجموعة القراصنة الكورية الشمالية الشهيرة لازاروس تتظاهر بأنها مجندون لاستهداف محترفين غير مشبوهين باستخدام سلالة جديدة من البرمجيات الخبيثة تسمى "OtterCookie"، والتي تم نشرها خلال جلسات مقابلات وهمية.

في وقت سابق من هذا العام، وجدت دراسة منفصلة أجرتها شركة التحليل الجنائي blockchain Merkle Science أن عمليات الاحتيال الهندسية الاجتماعية كانت تستهدف في الغالب المشاهير وقادة التكنولوجيا من خلال حسابات X المخترقة.