كشف باحثون في مجال الأمن السيبراني عن حملة احتيالية متقدمة تُعرف باسم Elusive Comet أو “المذنب المتخفي”، تستخدم أساليب هندسة اجتماعية معقدة لخداع الضحايا وتثبيت برمجيات خبيثة تؤدي في النهاية إلى سرقة العملات الرقمية.
انتحال هوية شركة استثمار وهمية
يدّعي المهاجمون أنهم يديرون شركة رأس مال استثماري مزعومة تُدعى Aureon Capital، ويُعتقد أنهم مسؤولون عن سرقة ملايين الدولارات من العملات الرقمية.
وقالت شركة Security Alliance:
“يحافظ المذنب المتخفي على حضور إلكتروني قوي وسجل طويل من النشاطات لإضفاء الشرعية على عملياته، وذلك من خلال إنشاء مواقع ويب احترافية وحسابات نشطة على وسائل التواصل الاجتماعي، بالإضافة إلى انتحال هويات لأشخاص حقيقيين ذوي خلفيات مهنية مرموقة.”
كيف تبدأ الهجمات؟
تبدأ الهجمات عادةً برسائل استدراج يتم إرسالها عبر الرسائل المباشرة في تويتر أو البريد الإلكتروني، حيث يتم دعوة الضحايا المحتملين للظهور كضيوف في بودكاست مزيف أو للمشاركة في مقابلة وهمية.
يتم إرسال روابط عبر خدمة Calendly لتحديد موعد لقاء عبر Zoom، وبمجرد قبول الدعوة، يُطلب من الضحية مشاركة شاشته لعرض أعماله.
في هذه المرحلة، يستغل المهاجمون ثغرة في واجهة Zoom، حيث يغيّرون اسم العرض الخاص بهم إلى “Zoom” لتبدو نافذة طلب التحكم عن بُعد وكأنها إشعار رسمي من النظام.
سرقة العملات الرقمية عبر برمجيات خبيثة
بمجرد منحهم التحكم عن بُعد، يقوم المهاجمون بتثبيت برمجيات خبيثة مثل GOOPDATE، المصممة خصيصًا لسرقة العملات الرقمية.
وقد أكد جيك غالن، الرئيس التنفيذي لمنصة NFT المعروفة Emblem Vault، أنه فقد أكثر من 100,000 دولار من أصوله الشخصية نتيجة لهذا الهجوم.
أدوات إضافية: برامج سرقة المعلومات وأحصنة طروادة
رُصدت أيضًا برمجيات تجسسية وأحصنة طروادة (RATs) تُستخدم لسرقة البيانات والوصول عن بُعد، مما يوسع نطاق الهجوم ليشمل التجسس السيبراني وسرقة البيانات الحساسة.
وقالت شركة Trail of Bits:
“ما يجعل هذا الهجوم خطيرًا للغاية هو التشابه الكبير بين نافذة طلب الإذن والتحكم عن بُعد وبين إشعارات Zoom العادية، مما يُصعّب على الضحية التمييز.”
تورط محتمل لكوريا الشمالية
على الرغم من أن الجهة الفاعلة وراء هذه الحملة لا تزال غير مؤكدة، إلا أن الأدلة تشير إلى ارتباطها بكوريا الشمالية، التي سبق وأن استخدمت مكالمات Zoom مزيفة تحت ذريعة اجتماعات مع مستثمرين أو شراكات تجارية، لخداع الضحايا وتثبيت برمجيات خبيثة لحل “مشاكل صوتية” غير موجودة.
