قراصنة يستهدفون PayPal وNetflix وTikTok بعملية احتيال تصيد جديدة

أصبح مستخدمو PayPal وNetflix وTikTok هدفًا جديدًا للتصيد الاحتيالي للمتسللين الذين يستخدمون أداة جديدة تسمى Matrix Push C2.

وفقًا للتقارير، يمكن الوصول إلى الأداة عبر لوحة تحكم على الويب. يتيح ذلك للمخترقين إرسال إشعارات، tracكل ضحية آنيًا، وتحديد الإشعارات التي تفاعل معها الضحايا، وإنشاء روابط مختصرة باستخدام خدمة مدمجة لاختصار الروابط. بالإضافة إلى ذلك، tracملحقات المتصفح المُثبّتة، ​​بما في ذلك محافظ العملات المشفرة.

في تقرير لها، قالت الباحثة بريندا روب من شركة بلاكفوغ: "جوهر الهجوم هو الهندسة الاجتماعية، ويأتي برنامج Matrix Push C2 محملاً بقوالب قابلة للتكوين لزيادة مصداقية رسائله المزيفة إلى أقصى حد [...] يمكن للمهاجمين بسهولة تخصيص إشعارات التصيد الاحتيالي وصفحات الهبوط الخاصة بهم لانتحال شخصيات الشركات والخدمات المعروفة".

ومن بين العلامات التجارية المعروفة الأخرى التي تدعم قوالب التحقق من الإشعارات، MetaMask و Cloudflare. كما تتضمن المنصة قسم "التحليلات والتقارير" الذي يتيح لعملائها قياس فعالية حملاتهم وتحسينها حسب الحاجة.

يتم تنفيذ الهجوم عبر متصفح الويب كتهديد متعدد الأنظمة الأساسية

المحتال إشعارات من الموقع إلى الضحية يُرسِل ، يستغل المهاجمون آلية إشعارات الويب المُدمجة في متصفح الويب. يستخدمونها لإرسال تنبيهات تبدو وكأنها مُرسَلة من نظام التشغيل أو المتصفح نفسه. ويستغلون بذلك علامات تجارية موثوقة وشعارات مألوفة ولغة مُقنعة للحفاظ على خدعتهم.

وتشمل هذه التنبيهات، على سبيل المثال، عمليات تسجيل الدخول المشبوهة أو تحديثات المتصفح، إلى جانب زر "التحقق" أو "التحديث" المفيد، والذي عند النقر عليه، يأخذ الضحية إلى موقع مزيف.

في هذا الهجوم، تتم العملية برمتها عبر المتصفح دون الحاجة إلى إصابة نظام الضحية بأي وسيلة أخرى. يشبه الهجوم إلى حد ما هجوم ClickFix، حيث يُغرى المستخدمون باتباع تعليمات محددة لاختراق أنظمتهم، متجاوزين بذلك ضوابط الأمان التقليدية.

بالإضافة إلى ذلك، ولأن الهجوم يحدث عبر متصفح الويب، فهو أيضًا تهديد متعدد المنصات. هذا يُحوّل أي تطبيق متصفح على أي منصة يشترك في الإشعارات الخبيثة إلى عميل مُدرج ضمن مجموعة العملاء، مما يمنح الخصوم قناة اتصال مستمرة.

رُصدت Matrix Push لأول مرة في بداية أكتوبر، وهي نشطة منذ ذلك الحين. مع ذلك، لا يوجد دليل على وجود إصدارات أقدم، أو علامات تجارية سابقة، أو بنية تحتية راسخة. تشير جميع المعطيات إلى أنها مجموعة أدوات حديثة الإطلاق.

تيليجرام يلعب دوراً في أعمال المحتالين

يُباع Matrix Push C2 كحزمة برامج ضارة كخدمة (MaaS) لجهات تهديد أخرى. يُباع مباشرةً عبر قنوات برامج الجريمة الإلكترونية، خاصةً على Telegram ومنتديات الجرائم الإلكترونية. تتوفر مستويات اشتراك مختلفة: حوالي 150 دولارًا أمريكيًا شهريًا، و405 دولارات أمريكية لثلاثة أشهر، و765 دولارًا أمريكيًا لستة أشهر، و1500 دولار أمريكي لسنة كاملة.

بالإضافة إلى ذلك، ووفقًا للدكتور دارين ويليامز، مؤسس شركة بلاك فوغ ومديرها التنفيذي،  "يتم قبول المدفوعات بالعملات المشفرة، ويتواصل المشترون مباشرةً مع المشغل للحصول على إمكانية الوصول". حتى أن يوروبول حذرت من أن استخدام الأصول المشفرة في الأنشطة الإجرامية أصبح أكثر تعقيدًا.

أُلقي القبض على بافيل دوروف، مؤسس تطبيق تيليجرام، شخصيًا بسبب بعض الأنشطة غير المشروعة على منصة التراسل. أُلقي القبض على دوروف أولًا في باريس في إطار تحقيق رسمي بزعم تورطه في أنشطة إجرامية على تيليجرام.

يتهم المحققون الفرنسيون الشركة باستغلالها في التجارة غير المشروعة، ومواد الاعتداء الجنسي على الأطفال، وغيرها من المعاملات غير المشروعة، وبالتقاعس عن التعاون مع طلبات جهات إنفاذ القانون. ولا يزال تيليجرام يُثبت أنه سوقٌ للمجرمين.

Cryptopolitan أفاد أن فرنسا رفعت حظر السفر عن بافيل دوروف، ما يسمح له الآن بالسفر بحرية. مع ذلك، لا يزال التحقيق الجنائي جارياً بشأن منصة المراسلة التي يستخدمها.

X  كشف شبكة رشوة يديرها مستخدمون موقوفون ومحتالون في مجال العملات المشفرة وقام بتفكيكها، حيث زُعم أنهم دفعوا "وسطاء" لرشوة الموظفين مقابل إعادة تفعيل الحسابات.