كشف مركز الأبحاث الروسي كاسبرسكي عن حملة احتيالية عبر الإنترنت تستهدف سرقة العملات المشفرة والمعلومات الحساسة باستخدام مواضيع شائعة مثل الويب 3 والعملات المشفرة والذكاء الاصطناعي والألعاب عبر الإنترنت وغيرها. تستهدف الحملة مستخدمي نظامي التشغيل Windows وmacOS في جميع أنحاء العالم، ويُعتقد أن مجموعة من المجرمين السيبرانيين الناطقين باللغة الروسية يقفون وراءها، حيث ينشرون برمجيات لسرقة المعلومات وبيانات المحفظة.
قام فريق الاستجابة للطوارئ العالمية باكتشاف الحملة التي تستغل مواضيع شعبية لجذب الضحايا عبر مواقع إلكترونية مزيفة تحاكي تصميم واجهات الخدمات المشروعة. في الآونة الأخيرة، قامت هذه المواقع بتقليد منصات للعملات المشفرة، وألعاب تقمص أدوار عبر الإنترنت، ومترجمين مدعومين بالذكاء الاصطناعي. وعلى الرغم من وجود بعض الاختلافات البسيطة في أسماء ورابط هذه المواقع، إلا أنها تبدو متطورة للغاية مما يزيد من احتمالية نجاح الهجمات.
يتم استدراج الضحايا عبر تصيد احتيالي إلى هذه المواقع المزيفة، والتي تهدف إلى خداعهم لتقديم معلومات حساسة مثل مفاتيح المحفظة أو تنزيل البرمجيات الخبيثة. بعد ذلك، يمكن للمهاجمين استخدام الموقع المزيف للوصول إلى محافظ العملات المشفرة الخاصة بالضحايا واستنزاف أموالهم، أو سرقة بيانات اعتماد مختلفة وتفاصيل المحفظة والمعلومات الأخرى عبر برمجيات سرقة المعلومات.
تمكنت كاسبرسكي من تحديد سلاسل محددة في الكود الخبيث الذي يُرسل إلى خوادم المهاجمين في روسيا، ولاحظت استخدام كلمة "ماموث" بمعنى "الضحية" في كل من اتصالات الخادم وملفات تنزيل البرمجيات الخبيثة. وقد أطلقت كاسبرسكي على هذه الحملة اسم Tusk (ناب)، مشيرة إلى تركيزها على المكاسب المالية، حيث شبهت الضحايا بالماموث الذي يتم اصطياده من أجل أنيابه الثمينة.
تنشر الحملة برمجيات لسرقة المعلومات مثل Danabot وStealc، بجانب برمجيات التلاعب بالمحافظ مثل نسخة مفتوحة المصدر مكتوبة بلغة Go، والتي تختلف حسب موضوع الحملة. تُصمم برمجيات سرقة المعلومات لالتقاط بيانات الاعتماد، بينما تقوم برمجيات التلاعب بالمحافظ بمراقبة محتوى الحافظة بشكل مستمر، واستبدال عنوان محفظة العملات المشفرة بعنوان خبيث فور نسخه إلى الحافظة.
تُستضاف ملفات تحميل البرمجيات الخبيثة عبر منصة Dropbox، وعند تنزيلها، يواجه الضحايا واجهات سهلة الاستخدام تخفي البرمجيات الخبيثة، وتطلب منهم إما تسجيل الدخول، أو إنشاء حساب، أو ببساطة البقاء على صفحة ثابتة. وفي هذه الأثناء، يتم تنزيل وتثبيت البرمجيات الخبيثة تلقائيًا على أنظمتهم.
إرسال تعليق