حملة احتيالية نشطة لسرقة المعلومات والعملات المشفرة.. تعرف عليها
اكتشف مركز الأبحاث الروسي كاسبيرسكي حملة احتيالية عبر الإنترنت تهدف إلى سرقة العملات المشفرة والمعلومات الحساسة من خلال استغلال موضوعات شائعة مثل Web 3 والعملات المشفرة والذكاء الاصطناعي والألعاب عبر الإنترنت والمزيد.
وتستهدف الحملة الضحايا من جميع أنحاء العالم ويُعتقد أنها بقيادة مجرمين إلكترونيين ناطقين بالروسية لنشر البرمجيات الخبيثة التي تسرق المعلومات وسرقة البيانات.
اكتشف فريق الاستجابة للطوارئ العالمي حملة تصيد تستهدف مستخدمي Windows وmacOS في جميع أنحاء العالم، بهدف سرقة العملات المشفرة والمعلومات الشخصية. يستغل المهاجمون الموضوعات الرائجة لجذب الضحايا بمواقع ويب مزيفة تحاكي تصميم وواجهة العديد من الخدمات المشروعة.
ومن بين الحالات الأخيرة، قلدت هذه المواقع بورصة للعملات المشفرة، ولعبة لعب الأدوار عبر الإنترنت، ومترجمًا يعمل بالذكاء الاصطناعي. ورغم وجود اختلافات طفيفة في عناصر المواقع الخبيثة، مثل الاسم وعنوان URL، فإنها تبدو مصقولة ومتطورة، مما يزيد من احتمالات نجاح الهجوم.
يتم إغراء الضحايا للتفاعل مع هذه الإعدادات المزيفة من خلال التصيد الاحتيالي، ويتم تصميم المواقع المزيفة لخداع الضحايا لتقديم معلومات حساسة، مثل مفاتيح محفظة العملات المشفرة، أو تنزيل البرامج الضارة.
يمكن للمهاجمين بعد ذلك إما الاتصال بمحافظ العملات المشفرة الخاصة بالضحايا من خلال الموقع المزيف واستنزاف أموالهم، أو سرقة بيانات اعتماد مختلفة وتفاصيل المحفظة وغيرها من المعلومات باستخدام برامج سرقة المعلومات.
تمكنت شركة كاسبيرسكي من اكتشاف سلاسل محددة في التعليمات البرمجية الخبيثة المرسلة إلى خوادم المهاجمين في روسيا.
ظهرت كلمة “ماموث”، التي يستخدمها الجناة الروس للإشارة إلى “الضحية”، في كل من اتصالات الخادم وتنزيلات البرامج الضارة.
أطلقت شركة كاسبيرسكي على الحملة اسم Tusk للتأكيد على تركيزها على المكاسب المالية، حيث شبهت الضحايا بالماموث الذي يتم اصطيادهم من أجل أنيابهم الثمينة.
وتستخدم الحملة برامج سرقة المعلومات مثل Danabot وStealc، بالإضافة إلى برامج التلاعب بالحافظة مثل نسخة مفتوحة المصدر مكتوبة بلغة Go (يختلف البرنامج الخبيث اعتمادًا على موضوع الحملة).
تم تصميم برامج التخفي لسرقة المعلومات الحساسة مثل بيانات الاعتماد، في حين تراقب برامج التلاعب بالحافظة محتويات الحافظة باستمرار. بمجرد نسخ عنوان محفظة العملة المشفرة إلى الحافظة، يقوم برنامج التلاعب بالحافظة باستبداله بآخر ضار.
يتم استضافة ملفات تنزيل البرامج الضارة على Dropbox، وبمجرد تنزيلها، يواجه الضحايا واجهات سهلة الاستخدام تخفي البرامج الضارة، وتطلب منهم إما تسجيل الدخول أو إنشاء حساب أو البقاء على صفحة ثابتة. وفي الوقت نفسه، يتم تنزيل ملفات البرامج الضارة والحمولات المتبقية وتثبيتها تلقائيًا على أنظمتهم.
لمطالعة المزيد: موقع السفير وللتواصل تابعنا علي فيسبوك الدبلوماسي اليوم و يوتيوب الدبلوماسي اليوم.
