حذّرت شركة كاسبرسكي للأمن السيبراني من برمجيات خبيثة جديدة تستهدف مستخدمي العملات الرقمية عبر موقع استضافة البرامج SourceForge. وفي منشور حديث، ذكرت الشركة أن مشروع برنامج Office Package، الموجود على الموقع، يحتوي على برمجية خبيثة تستهدف تسميم عناوين IP لمستخدمي العملات الرقمية.
بحسب التقرير، فإن حزمة برامج Office مشروع شرعي يحتوي على إضافات لبرنامج Microsoft Office. مع ذلك، يكشف تحقيق معمق المزيد عن هذه الحزمة، إذ تحتوي على روابط تحميل تؤدي إلى عنوان URL مختلف.
وجاء فيه:
"تم تخصيص النطاق officepackage.sourceforge[.]io للمشروع قيد التحقيق، لكن الصفحة المعروضة عند الانتقال إلى هذا النطاق لا تشبه صفحة officepackage على موقع sourceforge.net على الإطلاق."
ومن المثير للاهتمام أن عملية تنزيل البرامج الضارة معقدة للغاية، حيث يمر المستخدمون بثلاثة روابط قبل أن يتمكنوا من تنزيل الملف. ويبدو أن هذه العملية المعقدة جزء من خطة لخداع المستخدمين وإيهامهم بأنهم يقومون بتنزيل تطبيق أصلي.
لاحظ خبراء الأمن في كاسبرسكي أن ملف التثبيت النهائي هو installer.msi، وهو ملف بحجم 700 ميجابايت، قام المخترقون بتضخيم حجمه ليبدو كملف تثبيت برامج أصلي. بعد إزالة البيانات غير الضرورية، يصبح حجمه الحقيقي 7 ميجابايت.
عند تشغيل برنامج التثبيت، يقوم المستخدمون دون علمهم بتثبيت تطبيقين خبيثين على أجهزتهم، أحدهما برنامج تعدين العملات الرقمية والآخر برنامج ClipBanker. يسمح برنامج ClipBanker بتسميم عناوين العملات الرقمية عن طريق استبدال عناوين العملات المشفرة المنسوخة إلى الحافظة بعناوين المهاجم، مما يدفع المستخدمين إلى إرسال الأموال إلى عناوين خاطئة.
كتب خبراء الأمن:
"تتلخص الإجراءات الخبيثة الرئيسية في هذه الحملة في تشغيل نصين برمجيين من نوع AutoIt. يقوم ملف Icon.dll بإعادة تشغيل مترجم AutoIt وحقن برنامج تعدين العملات الرقمية فيه، بينما يقوم ملف Kape.dll بنفس الشيء ولكنه يحقن برنامج ClipBanker."
وفي الوقت نفسه، لاحظوا أيضاً أن الهجوم ركز في معظمه على أهداف روسية. ومن دلائل ذلك واجهة المستخدم الروسية لموقع officepackage.sourceforge[.]io، وحقيقة أن 90% من المستخدمين البالغ عددهم 4604 الذين تعرضوا للبرمجية الخبيثة بين يناير وأواخر مارس هم من الروس.
التصدي لعمليات الاحتيال المتعلقة بالتسمم المتزايدة
يتزامن تقرير كاسبرسكي مع الارتفاع الأخير في هجمات تسميم عناوين المستخدمين على العملات الرقمية، وفقًا لتقارير العديد من شركات أمن تقنية البلوك تشين. وتشير بيانات موقع Scam Sniffer إلى أن ثالث أكبرdent تصيد احتيالي في مارس كانت ناجمة عن تسميم عناوين المستخدمين.
أفادت شركة سايفرز أيضاً بأن عمليات الاحتيال المتعلقة بتسميم العناوين تسببت في خسائر تجاوزت 1.2 مليون دولار خلال الأسابيع الثلاثة الأولى من شهر مارس، إضافةً إلى 1.8 مليون دولار في فبراير. وأوضحت الشركة أن نظامها للكشف عن التهديدات المدعوم بالذكاء الاصطناعيdentزيادة في هجمات تسميم العناوين.
في حين أن معظم هجمات تسميم العناوين تنتج عن قيام المهاجمين بإرسال معاملات صغيرة يدويًا إلى الضحايا بعناوين مشابهة لتلك التي يستخدمونها بشكل متكرر، فإن استخدام البرامج الضارة المتطورة التي تسمح للمهاجمين بتغيير العناوين من الحافظة يوضح كيف يستمر الفاعلون السيئون في التطور.
يرى خبراء الأمن أن الحل الأمثل لهذه المشكلة هو تجنب المستخدمين تحميل البرامج من مصادر غير موثوقة. وأشاروا إلى أن الجهات الخبيثة عادةً ما تستغل مواقع البرامج غير الرسمية لنشر تطبيقات ضارة، ويجب على مستخدمي هذه المواقع أن يكونوا على دراية بهذا الخطر.
لكنهم أشاروا إلى أن هذا البرنامج الخبيث يمثل مشكلة أكبر، إذ يوفر للمهاجمين طريقة مبتكرة للوصول إلى الأنظمة المصابة. وبالتالي، من المحتمل أن يقرر مطوروه استخدامه لأغراض أخرى غير استهداف مستخدمي العملات الرقمية، وأن يبدأوا ببيعه لجهات خبيثة أكثر خطورة.
