أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
عملية احتيال "الدب الجشع" التي انتشرت عبر إضافات متصفح فايرفوكس سرقت مليون دولار من العملات المشفرة: شركة كوي سيكيوريتي
- تم الكشف مؤخرًا عن عملية الاحتيال GreedyBear التي نشرت 150 ملحقًا لمتصفح Firefox لسرقة بياناتdentالعملات المشفرة.
- تتضمن البنية التحتية للهجوم 500 ملف تنفيذي ضار ومواقع ويب احتيالية.
- تمكنت الحملة المنسقة من سرقة أكثر من مليون دولار من مستخدمي العملات المشفرة.
تمكنت مجموعة الاحتيال GreedyBear من سرقة أكثر من مليون دولار من العملات المشفرة من خلال حملة هجوم منسقة.
أفادت شركة كوي سيكيوريتي أن المجموعة أطلقت 150 إضافةً مُسلّحة لمتصفح فايرفوكس، بالإضافة إلى 500 ملف تنفيذي خبيث. استخدمت العملية إضافات محافظ مزيفة، ومواقع تصيد احتيالي، وبرامج ضارة لاستهداف العملات المشفرة عبر منصات متعددة.
احتيال إضافة Firefox يستهدف محافظ العملات المشفرة الشهيرة
أطلقت مجموعة GreedyBear الاحتيالية أكثر من 150 إضافة خبيثة على متجر Firefox تستهدف مستخدمي العملات الرقمية. تنتحل هذه الإضافات الخبيثة صفة محافظ رقمية شهيرة مثل MetaMaskو Trondentdentdentdentdentdentdentdentعند محاولتهم تسجيل الدخول.
يُنتج المخترقون في البداية إضافات تبدو أصلية، مثل مُنقِّحات الروابط وبرامج تنزيل يوتيوب، ذات وظائف محدودة. باستخدام مجموعة من 5 إلى 7 أدوات عامة بأسماء ناشرين جديدة، عادةً ما يُرسِّخون مصداقيتهم على المدى الطويل.
بمجرد أن يبني المجرمون ثقة المستخدمين من خلال تقييمات إيجابية حقيقية، يُلغون هذه الإضافات تمامًا. يُغيرون الأسماء والأيقونات ويحقنون برمجيات ضارة، مع الاحتفاظ بسجل التقييمات الإيجابية الأصلي. تُمكّن هذه الطريقة الإضافات الضارة من الظهور بمظهر جدير بالثقة للمستخدمين الجدد الذين يتصفحون السوق.
تعمل الإضافات كأدوات للحصول على بياناتdentالمحفظة من حقول الإدخال في نوافذها المنبثقة. تُنقل المعلومات المسروقة إلى خوادم بعيدة تسيطر عليها المجموعة الإجرامية لاستغلالها لاحقًا. كما تُرسل الإضافات عناوين IP للضحايا عند بدء تشغيل برنامج tracKing.
يأتي هذا الإجراء متابعةً لنشاط سابق لمحفظة Foxy Wallet، حيثdent40 امتدادًا خبيثًا. وقد زاد نطاق هذا النشاط أكثر من ضعفي الحالة الأولى. وتؤكد تقارير المستخدمين أن الضحايا فقدوا قيمة كبيرة من عملاتهم المشفرة باستخدام هذه الامتدادات المزيفة على فترات زمنية مختلفة.
هجوم متعدد المنصات يجمع بين البرامج الضارة ومواقع الويب الاحتيالية
GreedyBear عملية ما يقرب من 500 ملف تنفيذي خبيث لنظام ويندوز، إلى جانب حملتها لإضافات المتصفح. تنتشر هذه البرامج عبر مواقع إلكترونية روسية تُوزّع برامج مُخترقة ومُقرصنة على مستخدمين غير مُدركين. تغطي مجموعة البرامج الضارة فئات تهديد مُتعددة لتحقيق أقصى قدر من الضرر المُحتمل.
يستهدف سارقوdent، مثل LummaStealer، معلومات محفظة العملات المشفرة المخزنة على أجهزة الضحايا. تُشفّر متغيرات برامج الفدية ملفات المستخدمين وتطلب دفعات بالعملات المشفرة مقابل مفاتيح فك التشفير. تُتيح أحصنة طروادة العامة وصولاً خلفيًا لتوصيل حمولات إضافية عند الحاجة.
تدير المجموعة أيضًا بنية تحتية من مواقع خدمات العملات المشفرة المزيفة لسرقة البيانات. هذه المواقع الاحتيالية هي خدمات عملات مشفرة تبدو شرعية وليست صفحات تصيد احتيالي نموذجية. تحتوي محافظ الأجهزة التي تحمل علامة جوبيتر التجارية أيضًا على نماذج لواجهات مُزيّفة لخداع المشترين المحتملين ودفعهم للكشف عن تفاصيل الدفع.
ومن الأمثلة الأخرى التي ذُكرت في التقرير مواقع إصلاح المحافظ التي تدّعي إصلاح منتجات تريزور التالفة للعملاء المُحبطين. وتحصل هذه المواقع المُقلّدة على كلمات مرور استرداد المحفظة والمفاتيح الخاصة مُتظاهرةً بأنها دعم فني. بعض هذه المواقع نشطة، بينما البعض الآخر خامل، في انتظار هجمات مُستهدفة في المستقبل.
يُظهر تنوع أساليب الهجوم أن عملية احتيال GreedyBear تعتمد على شبكة توزيع واسعة النطاق بدلاً من التركيز على أسلوب واحد. يتيح هذا النهج المتنوع للمجموعة تغيير تكتيكاتها بناءً على الأنسب. يؤكد إعادة استخدام البنية التحتية عبر عائلات مختلفة من البرمجيات الخبيثة التنسيق المركزي بين جميع مكونات الحملة.
يتحكم الخادم المركزي في عمليات السرقة العالمية
تُدير GreedyBear أعمالها الإجرامية بالكامل من خلال عنوان IP واحد هو 185.208.156.66. تتصل جميع النطاقات المستخدمة تقريبًا عبر الامتدادات وحمولات البرامج الضارة ومواقع التصيد الاحتيالي بهذا الخادم المركزي. يتولى هذا المركز إدارة اتصالات القيادة والتحكم، وجمع بياناتdent، وتنسيق برامج الفدية، واستضافة مواقع الاحتيال.
تُمكّن البنية التحتية المركزية المهاجمين من تبسيط عملياتهم عبر قنوات هجوم متعددة بكفاءة. تتدفق البيانات من إضافات المتصفحات، وإصابات البرامج الضارة، وضحايا مواقع الويب، جميعها إلى نقطة التجميع نفسها. يُبسّط هذا النهج الإدارة مع توفير معلومات استخباراتية شاملة عن الضحايا المستهدفين.
اكتشفت شركة كوي سيكيوريتي أن المجموعة بدأت بالفعل بالتوسع خارج نطاق متصفح فايرفوكس. فقد استخدمت إضافة كروم خبيثة تُدعى Filecoin Wallet أساليب سرقة بياناتdentdentقبل أشهر. وقد تواصلت هذه الإضافة مع نطاقات مستضافة على نفس البنية التحتية للخادم 185.208.156.66.
يؤكد الاتصال أن GreedyBear تختبر عملياتها عبر أنظمة متصفحات مختلفة. ومن المرجح أن تشهد متصفحات Chrome وEdge وغيرها حملات توسعة مماثلة في الأشهر المقبلة. ويُظهر استعداد المجموعة للتجربة عبر منصات مختلفة التزامها بتوسيع نطاق عملياتها.
ساعدت أدوات الذكاء الاصطناعي في تسريع نمو الحملة وتعقيدها، وفقًا لتحليل الكود. تشير العناصر المُولّدة في البرنامج الخبيث إلى أن الذكاء الاصطناعي يُساعد في إنشاء الحمولة وتوسيع نطاقها. تُتيح هذه التقنية دورات تطوير أسرع وتفادي أفضل لأنظمة الكشف الأمني عبر منصات مختلفة.
لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)