اكتشفت كاسبرسكي حملة احتيالية عبر الإنترنت تهدف لسرقة العملات المشفرة والمعلومات الحساسة من خلال استغلال مواضيع شائعة مثل الويب 3، والعملات المشفرة، والذكاء الاصطناعي، والألعاب عبر الإنترنت، وغيرها. تستهدف الحملة ضحايا من جميع أنحاء العالم، ويُعتقد أن مجرمين سيبرانيين ناطقين باللغة الروسية يقودونها لنشر برمجيات سرقة المعلومات وبيانات الحافظة.
اكتشف فريق كاسبرسكي للاستجابة للطوارئ العالمية حملة احتيالية تستهدف مستخدمي نظامي التشغيل Windows وmacOS في جميع أنحاء العالم، وذلك بهدف سرقة العملات المشفرة والمعلومات الشخصية. حيث يستغل المهاجمون مواضيع شائعة لجذب الضحايا بواسطة مواقع إلكترونية مزيفة تحاكي تصميم و واجهة العديد من الخدمات المشروعة. ومن بين الحالات الأخيرة، قلدت هذه المواقع منصة عملات مشفرة، ولعبة تقمص أدوار عبر الإنترنت، ومترجماً مدعوماً بالذكاء الاصطناعي. وعلى الرغم من وجود اختلافات بسيطة في عناصر المواقع الخبيثة مثل الاسم والرابط، إلا أنها تبدو محسنة ومتطورة، مما يزيد من احتمال وقوع هجمة ناجحة.
يتم استدراج الضحايا للتفاعل مع هذه الإعدادات المزيفة من خلال التصيد الاحتيالي. وقد صُممت المواقع المزيفة لخداع الضحايا ودفعهم لتقديم معلومات حساسة، مثل مفاتيح محفظة العملات المشفرة، أو تنزيل البرمجيات الخبيثة. بعد ذلك، يمكن للمهاجمين إما الاتصال بمحافظ العملات المشفرة الخاصة بالضحايا من خلال الموقع المزيف واستنزاف أموالهم، أو سرقة بيانات اعتماد مختلفة، وتفاصيل المحفظة، وغيرها من المعلومات بواسطة برمجيات سرقة المعلومات.
قال أيمن شعبان، رئيس وحدة الاستجابة للحوادث لفريق الاستجابة للطوارئ العالمية لدى كاسبرسكي: «يشير الترابط بين الأجزاء المختلفة لهذه الحملة والبنية التحتية المشتركة الخاصة بها لعملية منظمة بشكل جيد، وقد تكون مرتبطة بجهة أو مجموعة ذات دوافع مالية محددة. وبجانب الحملات الفرعية الثلاث التي تستهدف مواضيع العملات المشفرة، والذكاء الاصطناعي، والألعاب، ساعدت بوابة معلومات التهديدات خاصتنا في تحديد البنية التحتية لـ 16 موضوعاً آخر، سواء لحملات فرعية قديمة أو حملات جديدة لم تُطلق بعد. يوضح ذلك قدرة مصادر التهديد على التكيف السريع مع المواضيع الشائعة ونشر عمليات خبيثة جديدة استجابةً لها. وهو ما يؤكد الحاجة الملحة لحلول أمنية قوية وتعزيز الثقافة السيبرانية للحماية من التهديدات المتطورة».
تمكنت كاسبرسكي من اكتشاف سلاسل محددة في الكود الخبيث المُرسل لخوادم المهاجمين في روسيا. وظهرت كلمة «ماموث» التي تستخدمها مصادر التهديد الروسية بمعنى «الضحية» في كل من اتصالات الخادم وملفات تنزيل البرمجيات الخبيثة. وأطلقت كاسبرسكي على الحملة اسم Tusk (ناب) للتأكيد على تركيزها على المكاسب المالية، حيث شبهت الحملة الضحايا بالماموث الذي يتم اصطياده من أجل أنيابه الثمينة.
تنشر الحملة برمجيات سرقة المعلومات مثل Danabot وStealc، بجانب برمجيات التلاعب بالحافظة مثل نسخة مفتوحة المصدر مكتوبة بلغة Go (تختلف البرمجيات الخبيثة حسب موضوع الحملة). وصُممت برمجيات سرقة المعلومات لسرقة المعلومات الحساسة مثل بيانات الاعتماد، بينما تقوم برمجيات التلاعب بالحافظة بمراقبة محتوى الحافظة باستمرار. وبمجرد نسخ عنوان محفظة العملات المشفرة إلى الحافظة، تقوم برمجية التلاعب بالحافظة باستبداله بعنوان خبيث.
يتم استضافة ملفات تحميل البرمجيات الخبيثة عبر منصة Dropbox. وبمجرد تنزيل هذه الملفات، تواجه الضحايا واجهات سهلة الاستخدام تخفي البرمجيات الخبيثة، وتطلب منهم إما تسجيل الدخول، أو إنشاء حساب، أو ببساطة البقاء على صفحة ثابتة. وفي هذه الأثناء، يتم تنزيل الملفات الخبيثة والحمولات المتبقية تلقائياً وتثبيتها على أنظمتهم.
اقرأ أيضًا:
«كيب تاون تايجرز» ينسحب من بطولة جنوب أفريقيا للأندية لكرة السلة
شنايدر إلكتريك تستعرض أهم تطورات برنامج EcoXpert والحلول التكنولوجية في إدارة الطاقة
