برنامج Bom الخبيث يسرق من المستخدمين أكثر من 1.82 مليون دولار: SlowMist

تمdentخطة لسرقة جماعية للعملات المشفرة بعد أن أبلغ مستخدمون مختلفون عن وصول غير مصرح به إلى أرصدة محافظهم في 14 فبراير 2025.

أصدرت شركتا الأمن SlowMist و OKX تقريرًا يوضح أنهما وجدتا أن تطبيقًا خبيثًا يسمى BOM كان مسؤولاً عن الهجمات.

أثبتت الدراسة أن برنامج BOM كان يهدف إلى خداع المستخدمين لحملهم على منحه صلاحية الوصول إلى مكتبة الصور الخاصة بهم ومساحة التخزين المحلية. وبمجرد منح هذه الصلاحيات، كان التطبيق يقوم سرًا بفحص لقطات الشاشة أو الصور التي تحتوي على عبارات استعادة المحفظة أو المفاتيح الخاصة. ثم يتم تحميل هذه المفاتيح إلى خوادم المهاجمين.

بحسب شركة ميستTrac، أصابت البرمجية الخبيثة ما لا يقل عن 13 ألف مستخدم، وبلغ إجمالي الأموال المسروقة أكثر من 1.82 مليون دولار. وقد لجأ المهاجمون إلى تحويل الأموال عبر منصات بلوك تشين مختلفة مثل Ethereum، وبي إس سي، وبوليغون، وأربيتروم، وبيس، في محاولة لإخفاء أنشطتهم.

يُظهر تحليل البرمجيات الخبيثة مخططًا لجمع البيانات

أظهر تحليل فريق أمن OKX Web3 أن التطبيق مبني باستخدام إطار عمل UniApp متعدد المنصات، وهو تصميم مُخصصtracالبيانات الحساسة. يطلب التطبيق إذنًا للوصول إلى معرض صور الجهاز والملفات المحلية عند التثبيت، ويُضلل المستخدم بادعاءات كاذبة بأن هذه الأذونات ضرورية لعمله بشكل طبيعي.

كشف تحليل التطبيق عن غرضه الرئيسي المتمثل في استرجاع معلومات المستخدمين وتحميلها. فعندما يزور المستخدمون صفحةtracفي التطبيق، يقومون بتفعيل وظائف تفحص وتجمع ملفات الوسائط من وحدة تخزين الجهاز. ثم تُجمّع هذه الملفات وتُحمّل إلى خادم بعيد يديره المهاجمون.

احتوى الكود البرمجي في التطبيق على وظائف مثل "androidDoingUp" و"uploadBinFa"، وكان الغرض الوحيد منها تنزيل الصور ومقاطع الفيديو من الجهاز وتحميلها إلى المهاجمين. استخدم عنوان URL للإبلاغ نطاقًا تم الحصول عليه من ذاكرة التخزين المؤقت المحلية للتطبيق؛ ولذلك، لم يكن من السهل على المستخدمين tracوجهة بياناتهم.

كما احتوى التطبيق الاحتيالي على توقيع غريب يتكون من أحرف عشوائية ("adminwkhvjv") بدلاً من الأحرف ذات الدلالة المستخدمة عادةً في التطبيقات الأصلية. وقد ساهم هذا الجانب أيضاً في إثبات أن التطبيق احتيالي.

تحليل الصناديق على سلسلة الكتل tracتدفقات الأصول المسروقة

يُظهر تحليل سلسلة الكتل لعملية السرقة تدفقات مالية على عدة شبكات. بدأ عنوان السرقة الرئيسي معاملته الأولى في 12 فبراير 2025، باستلام 0.001 BNB من هذا العنوان.

على سلسلة BSC، حقق المهاجمون أرباحًا تُقدّر بنحو 37,000 دولار أمريكي، معظمها بعملات USDC وUSDT وWBTC. استخدم المخترقون بكثرة برنامجcakeSwap لتبادل العملات الرقمية المختلفة مقابل BNB. يحتوي هذا العنوان حاليًا على 611 BNB ، بالإضافة إلى ما قيمته حوالي 120,000 دولار أمريكي من العملات الرقمية، مثل USDT وDOGE وFIL.

شهدت شبكة Ethereum أكبر قدر من عمليات السرقة، حيث خسرت ما يقارب 280 ألف دولار. نتجت غالبية هذه الأموال عن تحويلات إيثيريوم عبر سلاسل الكتل من شبكات أخرى. أودع المهاجمون 100 إيثيريوم في عنوان احتياطي، ثم حُوِّل إليه 160 إيثيريوم من عنوان آخر متصل. وبذلك، يبلغ إجمالي ما يُحتفظ به في هذا العنوان 260 إيثيريوم دون أي حركة إضافية.

على منصة Polygon، استولى المهاجمون على ما قيمته حوالي 65,000 دولار أمريكي من العملات الرقمية، بما في ذلك WBTC وSAND وSTG. تم استبدال معظم هذه الأموال على منصة OKX-DEX مقابل ما يقارب 67,000 POL. كما لوحظت عمليات سرقة أخرى على منصتي Arbitrum (بقيمة 37,000 دولار أمريكي) وBase (بقيمة 12,000 دولار أمريكي)، حيث تم استبدال معظم العملات الرقمية مقابل ETH وربطها بشبكة Ethereum .