سرقت مجموعة القرصنة "كريبتوكور" 200 مليون دولار من موظفي منصات تداول العملات الرقمية

لقد قامت CryptoCore بالاحتيال على أكثر من 200 مليون دولار من بورصات العملات المشفرة منذ عام 2018.

بحسب تقرير صادر عن شركة ClearSky للأمن السيبراني، تستهدف هذه المجموعة موظفي ومديري منصات تداول العملات الرقمية بعمليات احتيال إلكتروني. تُعرف المجموعة باسم CryptoCore، ولكنها تشتهر أيضاً بأسماء مستعارة مثل "Dangerous Password" و"Leery Turtle".

قراصنة CryptoCore

يخدع محتالو CryptoCore العاملين في منصات التداول بانتحال هوية موظفين رفيعي المستوى في المنصة نفسها للوصول إلى بياناتdent. يطلب المخترقون الوصول إلى حساب إدارة كلمات المرور الخاص بالضحية، والذي يمكنهم من خلاله الحصول على بياناتdentالمالية.

يستخدم المحتالون كلمات المرور لسرقة أصول الضحية وجميع البيانات التي يمكن استخدامها لاستهداف ضحايا آخرين.

ذكر التقرير أن الهدف الرئيسي للمهاجمين هو الوصول إلى محافظ المنصة، بما في ذلك محافظ الشركة ومحافظ الموظفين. يبدأ المهاجمون بمرحلة استطلاع واسعة النطاق تستهدف الشركة وجميع العاملين فيها.

الأهداف وطريقة التشغيل

استهدفت مجموعة CryptoCore منصات تداول في الولايات المتحدة واليابان. وسرقت المجموعة عملات رقمية بقيمة تزيد عن 200 مليون دولار عبر عمليات تصيد احتيالي.

تقوم المجموعة أولاً بإجراء بحث شامل حول البورصة المستهدفة ثم تنتحل صفة كيانات محددة باستخدام أسماء نطاقات مماثلة.

تُصيب المجموعة جهاز الضحية بإرسال ملفات تتطلب كلمة مرور مُفترضة لفتحها. بمجرد تشغيلها، تُثبّت الملفات برمجية خبيثة على الجهاز الذي يبحث عن البيانات في برامج إدارة كلمات المرور. ثم تُصيب البرمجية الخبيثة شبكة منصة التداول للبحث عن كلمات المرور.

بمجرد وصول المجموعة إلى المحافظ، تُنقل الأموال إلى المحافظ التي تسيطر عليها. وبينما لا يزال مصدر عمل المجموعة غير واضح، تعتقد ClearSky أن مقرها في أوروبا الشرقية. وتشير التقارير تعمل انطلاقًا من كوريا الشمالية.