كشفت شركة كاسبرسكي للأمن السيبراني عن عملية احتيال فريدة من نوعها تستهدف لصوص العملات الرقمية. تعتمد هذه الحيلة على استدراج الضحايا المحتملين بمحافظ عملات رقمية تبدو وكأنها مليئة بالأموال، ثم يتم سحب أموالهم عند محاولتهم الوصول إلى هذه المحافظ. تُظهر هذه الحيلة المبتكرة التطور المتزايد للمجرمين الإلكترونيين في مجال الأصول الرقمية.
بحسب شركة كاسبرسكي، يتظاهر كبار المحتالين بأنهم مستخدمون ساذجون للعملات الرقمية من خلال نشر عبارات الاسترداد، وهي المفاتيح اللازمة للوصول إلى محافظ العملات الرقمية، في تعليقات على يوتيوب. وتتضمن هذه التعليقات، التي تنشرها حسابات حديثة الإنشاء، غالباً طلباً للمساعدة في تحويل أموال من محفظة يُزعم أنها تحتوي على أصول كبيرة.
"لقد ابتكر المحتالون حيلة جديدة... فهم ينشرون عبارات استعادة محافظ العملات المشفرة في تعليقات يوتيوب باستخدام حسابات تم إنشاؤها حديثًا"، هذا ما ذكره المحلل في كاسبرسكي ميخائيل سيتنيك بالتفصيل في منشور مدونة.
لا شرف بين اللصوص - كيف تتم عملية الاحتيال باستخدام المفتاح الخاص
رصدت كاسبرسكي محفظة تحتوي على ما يقارب 8000 دولار أمريكي من عملة USDT على شبكة Tron . وللوصول إلى هذه الأموال، كان على اللص أولاً إرسال عملة TRX، وهي العملة الرقمية الأصلية لشبكة البلوك تشين، لتغطية رسوم الشبكة.
تعتمد هذه الحيلة بشكل أساسي على استغلال الأفراد الذين يسعون إلى استغلال أخطاء الآخرين التي يُفترض أنها "ساذجة". وبمجرد دخولهم إلى محفظة الطعم، يجد هؤلاء اللصوص الرقميون أنها مليئة بعملة USDT، وهي عملة رقمية من نوع TRC20 مرتبطة بالدولار الأمريكي.
بما أن المحفظة لا تحتوي على رصيد كافٍ من عملة TRX للسحب، يُطلب من المستخدمين إرسال الأموال من محافظهم الخاصة. يؤدي هذا الإجراء إلى تفعيل عملية "التحويل"، حيث يتم تحويل عملة TRX إلى عنوان المحتال.
لقد قام المحتالون بالتلاعب بالنظام، وبمجرد إرسال عملة TRX، يتم إعادة توجيهها على الفور إلى محفظة منفصلة يتحكم بها المهاجمون، مما يترك اللص خالي الوفاض.
شبّه تحليل كاسبرسكي المحتالين بروبن هود الرقمي، مستهدفين الجهات الفاعلة غير الأخلاقية في عالم العملات المشفرة. ومع ذلك، يبقى الضحايا الحقيقيون هم أولئك الذين تغلب جشعهم على حذرهم.
تحثّ شركة الأمن مستخدمي العملات الرقمية على توخي الحذر من الاستخدام المتكرر لعبارات الاستردادdentفي تعليقات متعددة. قد يكون هذا عملية مُخطط لها ومنسقة جيدًا لسرقة أصولهم.
حملات احتيال تستهدف مستخدمي العملات المشفرة
لا تقتصر نتائج كاسبرسكي على عمليات الاحتيال باستخدام عبارات الاسترداد. ففي أغسطس،dentفريق الاستجابة للطوارئ العالمي التابع للشركة حملة احتيال أوسع نطاقًا تستهدف مستخدمي أنظمة ويندوز وماك أو إس في جميع أنحاء العالم.
تستخدم هذه العملية مواقع ويب مزيفة متقنة الصنع لتقليد خدمات شرعية، مثل منصات العملات الرقمية، وألعاب تقمص الأدوار عبر الإنترنت، وأدوات الذكاء الاصطناعي. صُممت هذه المواقع المزيفة المتطورة لجذب الضحايا لحملهم على مشاركة معلومات حساسة أو تحميل برامج ضارة.
"إن العلاقة بين الأجزاء المختلفة من هذه الحملة وبنيتها التحتية المشتركة تشير إلى عملية منظمة بشكل جيد، وربما تكون مرتبطة بجهة فاعلة واحدة أو مجموعة ذات دوافع مالية محددة"، صرح بذلك أيمن شعبان، رئيس قسم الاستجابةdent في فريق الاستجابة للحوادث في كاسبرسكي.
أجرته كاسبرسكي، تحت اسم "تاسك"، كشف تحقيق أن الحملة تتضمن عمليات فرعية متعددة تستهدف العملات المشفرة والألعاب ومواضيع الذكاء الاصطناعي. كما تمتد البنية التحتية الخبيثة لتشمل 16 موضوعًا آخر، إما حملات فرعية متوقفة أو حملات جديدة لم تُطلق بعد.
كشفت سلاسل من التعليمات البرمجية الخبيثة التي تم اكتشافها خلال التحقيق عن وجود اتصالات بين خوادم المهاجمين باللغة الروسية، مع إشارات إلى مصطلح "ماموث" (Мамонт)، وهو مصطلح عامي يُستخدم للدلالة على "الضحية" بين الجهات الفاعلة في مجال التهديدات الناطقة بالروسية. وقد ساهمت هذه الدلالة اللغوية في تسمية الحملة.
تستخدم حملة Tusk برمجيات خبيثة لسرقة المعلومات مثل Danabot وStealc، بالإضافة إلى برامج مراقبة الحافظة، بعضها عبارة عن نسخ مفتوحة المصدر مكتوبة بلغة Go. تقوم برمجيات سرقة المعلومات باستخراجtracوتفاصيلdentالمحفظة وغيرها من المعلومات الحساسة، بينما تقوم برامج مراقبة الحافظة باعتراض عناوين محافظ العملات المشفرة المنسوخة إلى الحافظة، واستبدالها خبيثة يتحكم بها المهاجمون.
