قالت شركة الأمن السيبراني "Koi Security" إن حملة خبيثة أدت إلى سرقة أكثر من مليون دولار من العملات الرقمية باستخدام مزيج ثلاثي من أساليب الهجوم، عبر مئات من إضافات المتصفح والمواقع الإلكترونية والبرمجيات الخبيثة.

وأوضح الباحث في الشركة توفال أدموني يوم الخميس أن المجموعة الخبيثة، والتي أطلقت عليها الشركة اسم "GreedyBear"، قد "أعادت تعريف مفهوم السرقة الرقمية على المستوى الصناعي".

وقال أدموني:

"معظم المجموعات تختار أسلوبًا واحدًا ربما يركزون على إضافات المتصفح، أو برمجيات الفدية، أو مواقع التصيد الاحتيالي أما GreedyBear فقالت: 'لمَ لا نفعل كل ذلك؟' وقد نجح الأمر... بشكل مذهل."

ورغم أن أنواع الهجمات التي تستخدمها المجموعة ليست جديدة، إلا أن التقرير أشار إلى أن مجرمي الإنترنت أصبحوا يستخدمون مزيجًا من الاحتيالات المعقدة لاستهداف مستخدمي العملات الرقمية، ما يعكس بحسب أدموني أن المحتالين "توقفوا عن التفكير بصغر".

أكثر من 150 إضافة خبيثة لمحافظ العملات الرقمية

تمت سرقة أكثر من مليون دولار من خلال أكثر من 650 أداة خبيثة تستهدف مستخدمي محافظ العملات الرقمية، بحسب أدموني.

ونشرت المجموعة أكثر من 150 إضافة خبيثة على متجر متصفح Firefox، صُممت جميعها لتقليد محافظ شهيرة مثل MetaMask وTronLink وExodus وRabby Wallet.

ويستخدم القراصنة تقنيّة تُعرف بـ"Extension Hollowing"، حيث يبدؤون بإنشاء إضافة شرعية لتجاوز الفحص الأولي في المتجر، ثم يحولونها لاحقًا إلى إضافة خبيثة.

وأوضح أدموني أن هذه الإضافات الخبيثة تسرق بيانات الدخول إلى المحافظ مباشرة من الحقول المخصصة لإدخال المعلومات في واجهات المحافظ المزيفة.

وأضاف:

"هذا الأسلوب يسمح لـGreedyBear بتجاوز آليات الأمان في متاجر الإضافات من خلال الظهور بشكل شرعي خلال عملية المراجعة الأولية، ثم استخدام الإضافة لاحقًا كسلاح خبيث بعد أن تكون قد حصلت على ثقة المستخدمين وتقييمات إيجابية."

امتداد محفظة Exodus الخبيثة. المصدر: Koi Security

من جهته، قال ديدي لافيد، الرئيس التنفيذي لشركة الأمن السيبراني Cyvers، لـCointelegraph:

"تُظهر حملة GreedyBear كيف يستغل مجرمو الإنترنت الثقة التي يضعها المستخدمون في متاجر إضافات المتصفح. فهم يقومون بنسخ إضافات محافظ شهيرة، وتضخيم التقييمات، ثم يستبدلونها خلسة ببرمجيات خبيثة تسرق بيانات الاعتماد."

برمجيات خبيثة مرتبطة بالكريبتو

الذراع الثانية من الهجمات تركّز على برمجيات خبيثة ذات طابع مرتبط بالعملات الرقمية، وقد اكتشفت شركة Koi Security نحو 500 عينة منها.

وتستهدف برمجيات مثل LummaStealer بيانات محافظ العملات الرقمية، في حين أن بعض أنواع برمجيات الفدية مثل Luca Stealer مصمّمة لابتزاز الضحايا ودفعهم لتحويل فدية بالعملات الرقمية.

وأشار أدموني إلى أن معظم هذه البرمجيات يتم توزيعها عبر مواقع روسية تقدّم برامج مقرصنة أو معدّلة.

شبكة من مواقع الاحتيال

الهجوم الثالث في هذه "الثلاثية" يتمثل في شبكة من المواقع المزيفة التي تتظاهر بأنها تقدم منتجات أو خدمات مرتبطة بالعملات الرقمية.

وقال أدموني:

"ليست هذه صفحات تصيّد تقليدية تُحاكي واجهات تسجيل الدخول، بل تظهر كمواقع احترافية لمنتجات مزيفة، مثل المحافظ الرقمية أو الأجهزة الخاصة بها أو خدمات استعادة المحافظ."

وأوضح أن خادمًا واحدًا يعمل كمركز تحكم رئيسي، يجمع بين إدارة البرمجيات الخبيثة، وجمع بيانات الاعتماد، والتنسيق بين هجمات الفدية والمواقع الاحتيالية، ما يسمح للقراصنة بتنظيم عملياتهم بكفاءة عبر قنوات متعددة.

عنوان IP واحد يتحكم بالحملة. المصدر: Koi Security

تشير الحملة أيضًا إلى وجود علامات على استخدام كود برمجي تم إنشاؤه بواسطة الذكاء الاصطناعي، ما سمح بتوسيع نطاق الهجمات وتنوعها بسرعة، في ما يُعد تطورًا جديدًا في الجرائم السيبرانية الموجهة ضد قطاع العملات الرقمية.

وحذّر أدموني:

"هذه ليست موجة عابرة، بل واقع جديد."

وقال لافيد:

"تستغل هذه الهجمات توقعات المستخدمين وتتفادى أنظمة الدفاع التقليدية من خلال حقن برمجيات خبيثة مباشرة في واجهات المحافظ."
ثم أضاف:
"هذا يؤكد على ضرورة قيام متصفحات الإنترنت بتشديد آليات الفحص، وعلى المطورين أن يكونوا أكثر شفافية، والمستخدمين أكثر يقظة."