أُسنِدت إلى الجهة التهديدية المعروفة باسم EncryptHub، والتي تُعرف أيضاً بالأسماء LARVA-208 وWater Gamayun، حملة جديدة تستهدف مطوري Web3 بنية إصابتهم ببرمجية سرقة معلومات تُعرف باسم Fickle Stealer، وفقاً لما أفادت به شركة الأمن السيبراني السويسرية PRODAFT في بيان خاص لموقع The Hacker News.
وأوضحت PRODAFT أن “LARVA-208 طورت أساليبها، مستخدمةً منصات ذكاء اصطناعي مزيفة مثل Norlax AI، والتي تحاكي منصة Teampilot، للإيقاع بالضحايا من خلال عروض عمل أو طلبات مراجعة محافظ أعمالهم”.
وعلى الرغم من أن المجموعة اشتهرت سابقاً بنشر برمجيات الفدية، فإن الاكتشافات الأخيرة تشير إلى تطور في تكتيكاتها وتوسيع لأساليب الربح عبر استخدام برمجيات السرقة لجمع بيانات من محافظ العملات المشفرة.
لماذا مطورو Web3 هدف مثالي؟
لا تأتي استهدافات EncryptHub لمطوري Web3 بشكل عشوائي، فهذه الفئة غالباً ما تدير محافظ العملات الرقمية، وتملك صلاحيات وصول إلى مستودعات العقود الذكية، أو تعمل ضمن بيئات اختبارية حساسة. كما أن كثيراً منهم يعملون بشكل حر أو ضمن مشاريع لامركزية متعددة، مما يجعل من الصعب حمايتهم باستخدام ضوابط الحماية التقليدية للمؤسسات. هذا الطابع اللامركزي وارتفاع القيمة المستهدفة يجعل منهم هدفاً مغرياً للمهاجمين الباحثين عن تحقيق مكاسب سريعة دون لفت انتباه أنظمة الحماية المركزية.
سلاسل الهجوم: من رابط مزيف إلى برمجية خبيثة
تعتمد سلاسل الهجوم على توجيه الضحايا المحتملين إلى منصات ذكاء اصطناعي مزيفة، يتم من خلالها خداعهم للنقر على روابط اجتماعات مزعومة. وغالباً ما تُرسل هذه الروابط إلى مطوري Web3 عبر منصات مثل X وتليغرام، وذلك تحت ذريعة مقابلة عمل أو مناقشة محفظة أعمال. كما كشفت التحقيقات أن المهاجمين ينشرون عروض وظائف على موقع Remote3 المخصص لمجتمع Web3، ثم يرسلون لاحقاً روابط الاجتماعات للمتقدمين.
اللافت أن موقع Remote3 يحذر المستخدمين من تحميل برامج مؤتمرات فيديو غير مألوفة، ما دفع المهاجمين إلى تجاوز هذا التحذير عبر إجراء محادثة أولية على Google Meet، ليتم بعد ذلك توجيه الضحية إلى متابعة المقابلة على منصة Norlax AI المزيفة.
برمجية Realtek المزيفة ونشر Fickle Stealer
بمجرد أن ينقر الضحية على رابط الاجتماع، يُطلب منه إدخال بريده الإلكتروني ورمز الدعوة، ليُعرض عليه لاحقاً تنبيه زائف بوجود خلل في تعريفات الصوت. وعند النقر على هذا التنبيه، يبدأ تحميل برنامج خبيث يُقدم على أنه تعريف Realtek HD Audio Driver، لكنه في الحقيقة ينفذ أوامر PowerShell تؤدي إلى تنزيل ونشر برمجية Fickle Stealer.
تقوم هذه البرمجية بسرقة بيانات المحفظات المشفرة، وبيانات اعتماد التطوير، ومعلومات حساسة تخص المشاريع، ثم تُرسل هذه البيانات إلى خادم خارجي يحمل الاسم الرمزي SilentPrism.
وقالت PRODAFT: “يُوزّع المهاجمون برمجيات سرقة المعلومات مثل Fickle عبر تطبيقات ذكاء اصطناعي مزيفة، مما يمكنهم من الاستيلاء على محافظ العملات الرقمية وبيانات حساسة قد تُستخدم لاحقاً في عمليات إعادة بيع أو استغلال على أسواق غير مشروعة”.
ظهور تهديدات فدية جديدة: KAWA4096 وCrux
في سياق متصل، كشفت Trustwave SpiderLabs عن برمجية فدية جديدة تُدعى KAWA4096، والتي تتبنى أسلوب جماعة Akira وتستخدم ملاحظات فدية شبيهة بملاحظات Qilin، في محاولة لتعزيز حضورها وسمعتها داخل مجتمع الهجمات السيبرانية.
ظهرت برمجية KAWA4096 لأول مرة في يونيو 2025، واستهدفت حتى الآن 11 شركة، تتركز غالبيتها في الولايات المتحدة واليابان، فيما لا تزال وسيلة الوصول الأولي غير معروفة.
وتتميز البرمجية بقدرتها على تشفير الملفات على الأقراص الشبكية المشتركة، وباستخدامها لخيوط تنفيذ متعددة (multithreading) لتسريع عملية فحص وتشفير الملفات.
وقال الباحثان Nathaniel Morales وJohn Basmayor: “بعد التعرف على الملفات الصالحة، تُضاف إلى قائمة انتظار مشتركة، حيث تتولى مجموعة من خيوط العمل معالجة هذه القائمة وتشفير الملفات باستخدام آلية مزامنة تعتمد على الإشارات (semaphore) لضمان الكفاءة”.
من جانب آخر، دخلت برمجية فدية جديدة تُعرف باسم Crux ساحة التهديدات، حيث تزعم انتماءها إلى مجموعة BlackByte، وتم رصد ثلاث هجمات بها بتاريخ 4 و13 يوليو 2025، وفقاً لفريق Huntress.
في إحدى هذه الحوادث، استغل المهاجمون بيانات اعتماد صالحة عبر بروتوكول RDP للحصول على موطئ قدم في الشبكة المستهدفة. ومن السمات المشتركة بين الهجمات استخدام أدوات ويندوز الشرعية مثل svchost.exe وbcdedit.exe لإخفاء الأوامر الخبيثة وتعديل إعدادات الإقلاع لمنع استرداد النظام.
وأضافت Huntress: “يُظهر المهاجمون تفضيلاً واضحاً لاستخدام العمليات الشرعية مثل bcdedit.exe وsvchost.exe، لذا فإن المراقبة المستمرة للسلوك المشبوه المرتبط بهذه العمليات عبر أدوات اكتشاف واستجابة نقاط النهاية (EDR) يمكن أن تسهم في كشف التهديدات مبكراً”.
