كشفت أبحاث Check Point عن حملة خبيثة معقدة تستهدف مستخدمي العملات الرقمية عبر استغلال منصات موثوقة لبناء سمعة مزيفة حول أدوات ضارة. المهاجمون اعتمدوا على مزيج من مراجعات مزيفة، رواة آليين، وتعليقات مضللة على VirusTotal لإقناع الضحايا بتحميل برمجياتهم.
آلية الترويج
- نشر مقالات مدفوعة أو مروجة على مواقع إخبارية شرعية.
- تشغيل صفحة تصيّد عبر WordPress كمركز رئيسي.
- استخدام حسابات مزيفة على GitHub وSourceForge للترويج المتبادل.
- قناة YouTube تضم أكثر من 91 ألف مشترك تعرض فيديوهات تعليمية برواة آليين وتعليقات إيجابية.
- توزيع بيانات صحفية عبر خدمات مثل EIN Presswire لتضخيم المصداقية، وصلت إلى شبكات إعلامية كبرى مثل USA TODAY.
البرمجية الخبيثة
الهدف النهائي هو نشر Crypto Clipper مكتوب بلغة Rust، يستهدف أنظمة Windows وmacOS.
يقوم بمراقبة الحافظة باستمرار، وعند اكتشاف عنوان محفظة عملات رقمية، يستبدله بعنوان يسيطر عليه المهاجم، مما يحول الأموال مباشرة إلى حسابه.
البرمجية مدمجة داخل أدوات مزيفة مثل بوتات Solana وPump.fun ومولدات توقعات ألعاب المقامرة.
التلاعب بالسمعة
المهاجمون استخدموا ما يُعرف بـ Ghost Networks لتسميم أنظمة السمعة، عبر:
- رفع ملفات خبيثة على VirusTotal مع تعليقات إيجابية منسقة.
- تضخيم عدد التنزيلات على SourceForge (44,485 تنزيلًا، منها 37,460 من أجهزة Android رغم أن الإصدارات مخصصة لـ Windows وmacOS).
- مستودعات GitHub مزيفة مع نجوم وفروع مصطنعة (146 نجمة، 62 fork).
الدروس المستفادة
هذه الحملة تُظهر تحولًا خطيرًا في أساليب المهاجمين: لم يعد التركيز فقط على تطوير البرمجيات الخبيثة، بل على بناء اقتصاد سمعة مزيف عبر منصات موثوقة لإقناع الضحايا.
النتيجة هي بيئة تضليلية تجعل المستخدمين يثقون بالملفات الخبيثة، ما يفتح الباب أمام استغلال أوسع مستقبلًا لنشر مسرقي البيانات أو برمجيات الفدية.
