يتعرض مستخدمو العملات الرقمية لهجوم مستمر يعتمد على الهندسة الاجتماعية، حيث تستغل جهات تهديد شركات ناشئة وهمية لخداع الضحايا ودفعهم لتنزيل برمجيات خبيثة تسلب الأصول الرقمية من أنظمة Windows وmacOS.
وذكرت الباحثة “تارا غولد” من شركة Darktrace في تقرير نشرته The Hacker News أن “هذه العمليات الخبيثة تنتحل صفة شركات تعمل في الذكاء الاصطناعي والألعاب وتقنيات Web3، مستخدمة حسابات مزيفة على وسائل التواصل الاجتماعي ومستندات مشاريع مستضافة على منصات شرعية مثل Notion وGitHub”.
استخدام منصات مؤتمرات مرئية وهمية لاستدراج الضحايا
وتُعد هذه الحملة امتدادًا لعمليات احتيالية سابقة ظهرت في ديسمبر 2024، حين استُخدمت منصات مؤتمرات مرئية وهمية لاستدراج الضحايا عبر تطبيقات مثل Telegram، بحجة مناقشة فرص استثمارية. وعند تحميلهم للبرمجيات المزعومة، أُصيبوا ببرمجيات سرقة معلومات من نوع Realst. وأُطلق على الحملة اسم Meeten من قبل شركة Cado Security، التي استحوذت عليها Darktrace في وقت لاحق، نسبةً إلى إحدى تلك المنصات المزيفة.
ورصدت مختبرات Jamf Threat Labs في مارس 2024 استخدام نطاق “meethub[.]gg” لتوزيع نفس البرمجية الخبيثة، ما يشير إلى أن النشاط مستمر منذ ذلك الحين على الأقل.
وتؤكد أحدث نتائج Darktrace أن الحملة لا تزال نشطة، وقد توسعت لتشمل مواضيع ذات صلة بالذكاء الاصطناعي والألعاب وWeb3 ووسائل التواصل الاجتماعي. ويقوم المهاجمون باختراق حسابات X (تويتر سابقًا) لشركات وموظفين – وخاصة الحسابات الموثقة – للتواصل مع الضحايا ومنح الشركات المزيفة مظهرًا شرعيًا.
وقالت غولد: “يستخدم المهاجمون مواقع شائعة في أوساط شركات البرمجيات مثل X، وMedium، وGitHub، وNotion. ويقومون بإنشاء مواقع إلكترونية احترافية تحتوي على بيانات وهمية عن الموظفين، ومدونات، ووثائق تقنية، وخطط طريق للمشاريع”.
الشركات الوهمية التي تم تحديدها
-
Eternal Decay (@metaversedecay): تدّعي أنها لعبة مدعومة بتقنية البلوك تشين، وتستخدم صورًا معدّلة رقميًا لإيهام المتابعين بأنها تشارك في مؤتمرات.
-
BeeSync (@BeeSyncAI، @AIBeeSync)
-
Buzzu (@BuzzuApp، @AI_Buzzu، @AppBuzzu، @BuzzuApp)
-
Cloudsign (@cloudsignapp)
-
Dexis (@DexisApp)
-
KlastAI (ترتبط بحساب Pollens AI)
-
Lunelior
-
NexLoop (@nexloopspace)
-
NexoraCore
-
NexVoo (@Nexvoospace)
-
Pollens AI (@pollensapp، @Pollens_app)
-
Slax (@SlaxApp، @Slax_app، @slaxproject)
-
Solune (@soluneapp)
-
Swox (عدة حسابات منها: @SwoxApp، @Swox_AI، @App_Swox)
-
Wasper (@wasperAI، @WasperSpace)
-
YondaAI (@yondaspace)
تجربة برنامج مقابل مكافأة بالعملات الرقمية
وتبدأ سلسلة الهجوم عندما يتلقى الضحية رسالة من أحد هذه الحسابات المزيفة عبر X أو Telegram أو Discord، تعرض عليه تجربة برنامج مقابل مكافأة بالعملات الرقمية. إذا وافق، يُوجَّه إلى موقع إلكتروني وهمي ويُطلب منه إدخال رمز تسجيل يُقدَّم له من “موظف”، لتحميل تطبيق مزعوم يتناسب مع نظام تشغيله (Windows أو macOS).
في نظام Windows، يظهر للضحية شاشة تحقق من Cloudflare، بينما يتم في الخلفية فحص الجهاز وتنزيل ملف تثبيت MSI وتنفيذه. ورغم غموض طبيعة الحمولة الخبيثة، يُعتقد أنها برمجية لسرقة المعلومات.
سرقة المستندات وبيانات المتصفحات ومحافظ العملات الرقمية
أما في نظام macOS، فيُحمَّل برنامج Atomic macOS Stealer (AMOS)، وهو برمجية خبيثة معروفة بسرقة المستندات وبيانات المتصفحات ومحافظ العملات الرقمية، ثم إرسالها إلى خادم خارجي.
ويقوم ملف DMG أيضًا بجلب سكربت يقوم بتثبيت التطبيق بشكل دائم عبر Launch Agent ليعمل تلقائيًا عند تسجيل الدخول، كما ينفّذ كودًا مكتوبًا بلغة Objective-C/Swift يقوم بتسجيل نشاطات المستخدم وتوقيتها، وإرسالها إلى خادم عن بُعد.
ورصدت Darktrace تشابهًا تكتيكيًا بين هذه الحملة وتلك التي تنفذها مجموعة Crazy Evil، المتخصصة في خداع الضحايا لتثبيت برمجيات مثل StealC وAMOS وAngel Drainer.
وأوضحت غولد: “رغم عدم وجود تأكيد قاطع على أن هذه الحملة مرتبطة مباشرة بـCrazy Evil أو أحد فرقها، فإن الأساليب المستخدمة متشابهة. وتسلّط هذه الحملة الضوء على مدى الجهود التي تبذلها الجهات المهاجمة لإضفاء طابع الشرعية على شركاتها الوهمية بهدف سرقة العملات الرقمية، واستخدامها نسخًا متطورة من البرمجيات الخبيثة يصعب رصدها”.
