كشفت شركة WithSecure المتخصصة في الأمن السيبراني عن حملة خبيثة واسعة النطاق تستهدف مستخدمي العملات الرقمية حول العالم، حيث تمكنت هذه الحملة من العمل بشكل سري ودون اكتشاف منذ مارس 2024، مستغلة وسائل الإعلان الرقمي كوسيلة للإيقاع بالضحايا.
وتحمل هذه الحملة اسم WEEVILPROXY، وهي توظّف إعلانات احتيالية تظهر عبر منصات التواصل الاجتماعي ومحركات البحث، وتنتحل صفة منصات تداول عملات رقمية معروفة مثل Binance وBybit وKraken وRevolut وTradingView وغيرها، لخداع المستخدمين وتحفيزهم على تنزيل ملفات تنصيب وهمية، تقوم في الواقع بتثبيت أدوات لسرقة البيانات وتجفيف المحافظ الرقمية من الأصول المشفرة.
إعلانات مزيفة تتخفى خلف شعارات شركات شرعية
من أبرز أساليب الهندسة الاجتماعية التي استخدمها المهاجمون في حملة WEEVILPROXY هو الاعتماد على إعلانات Facebook الممولة، التي تم تصميمها باحترافية عالية لتبدو وكأنها تابعة رسميًا لمنصات شهيرة في عالم الكريبتو، ما يمنحها مصداقية كاذبة لدى المستخدم العادي.
وبحسب التقرير، بدأ المهاجمون منذ أبريل ومايو 2025 بتوسيع نطاق الحملة عبر شبكة Google Display Network، وهي شبكة إعلانات ضخمة توزع محتوى بصريًا من صور ومقاطع فيديو في مواقع الإنترنت المختلفة، وهو ما سمح لهم باستهداف قاعدة واسعة من المستخدمين على مستوى العالم.
تركيز جغرافي على بلدان جنوب وجنوب شرق آسيا
أظهرت التحليلات أن المهاجمين لا يكتفون بالتوزيع العشوائي للإعلانات الخبيثة، بل يقومون بتحديد المواقع الجغرافية المستهدفة بدقة. وقد رصدت WithSecure أن الحملة تركز بشكل خاص على دول مثل الفلبين وماليزيا وتايلاند وفيتنام وبنغلاديش وباكستان، مستهدفة مستخدمي العملات الرقمية النشطين في هذه المناطق، حيث يكثر الاعتماد على المنصات الإلكترونية في التداول والاستثمار.
برمجيات ضارة لسرقة البيانات وتجفيف الأصول
بعد خداع المستخدم وتحميل ملف التثبيت المزيف، تقوم البرمجية الخبيثة بتنزيل أدوات لسرقة معلومات حساسة مثل كلمات المرور، ومفاتيح المحافظ الرقمية، والبيانات المخزنة في المتصفحات، إلى جانب برامج متخصصة في تجفيف محتوى المحافظ المشفرة (cryptocurrency drainers) مباشرة بعد التثبيت.
يُشير باحثو الأمن السيبراني إلى أن الحملة تعتمد تقنيات مراوغة متقدمة لتفادي برامج الحماية والكشف، بما في ذلك التشفير، وتعديل مسارات التشغيل، واستخدام خوادم قيادة وتحكم ذات نطاقات دورية متغيرة، ما يجعل من الصعب تتبع نشاطها أو إيقافها.
ارتفاع وتيرة استهداف مستخدمي العملات الرقمية
تأتي هذه الحملة في سياق متصاعد من الهجمات الإلكترونية التي تستهدف المستثمرين في العملات الرقمية، إذ أصبحت هذه الفئة هدفًا مفضلاً للجهات الخبيثة، نظرًا لارتفاع قيمة الأصول الرقمية وسهولة تحويلها دون تتبع.
كما تؤكد الحادثة مجددًا أهمية التحقق من مصادر التنزيل وعدم الوثوق بالإعلانات حتى لو بدت موثوقة، مع ضرورة استخدام برامج حماية قوية وتفعيل المصادقة متعددة العوامل لحماية المحافظ الرقمية.
