يكشف بحثٌ أجرته شركة "داركtrac" عن حملة هندسة اجتماعية مستمرة تستهدف مستخدمي العملات الرقمية عبر شركات ناشئة وهمية. ينتحل المحتالون صفة شركات الذكاء الاصطناعي والألعاب الإلكترونية وشركات الويب باستخدام حسابات مزيفة على مواقع التواصل الاجتماعي.
تُستضاف وثائق المشروع على منصات موثوقة مثل Notion وGitHub. وتستمر الحملة في التطور منذ ديسمبر 2024، مستهدفةً موظفي Web3 على مستوى العالم.
تستخدم الشركات الوهمية منصات شرعية لبناء حضور موثوق
يقوم المهاجمون بإنشاء شركات ناشئة وهمية تستغلّ الذكاء الاصطناعي والألعاب وبرامج اجتماعات الفيديو. وتساعد واجهات شركات Web3 ووسائل التواصل الاجتماعي في استهداف مستخدمي العملات المشفرة تحديدًا. وتستخدم هذه العمليات حسابات X مخترقة، عادةً مع التحقق من الهوية، للتواصل مع الضحايا.
يستخدم المهاجمون منصات شرعية مثل Notion وMedium وGitHub لتوثيق البرامج. تتضمن المواقع الإلكترونية ذات المظهر الاحترافي ملفات تعريف الموظفين، ومدونات المنتجات، والتقارير الفنية، وخطط تطوير البرامج. ويبدو أن عددًا كبيرًا من الحسابات قد تم اختراقه، مما يُضفي عليها مظهرًا أكثر شرعية.
المحتالون نشطين على حسابات التواصل الاجتماعي، حيث ينشرون تحديثات حول تطوير البرمجيات. ويتم تداول محتوى تسويقي للمنتجات بانتظام، بينما تُدار الحملات عبر مختلف المنصات. وقد قامت لعبة "إيترنال ديكاي" (Eternal Decay) التي تعتمد على تقنية البلوك تشين بإنشاء صور مزيفة لعروض تقديمية في مؤتمرات لإضفاء المصداقية عليها .
بل إن المهاجمين قاموا بتعديل صور المعارض الإيطالية لتظهر وكأنها عروض تقديمية للشركات. يستضيف موقع Medium منشورات مدونات حول منتجات برمجية مزيفة وتطورات الشركات. أما موقع Notion فيحتوي على خرائط طريق مفصلة للمنتجات ومعلومات شاملة عن الموظفين.
تتضمن مستودعات GitHub جوانب برمجية تقنية تستخدم مشاريع مفتوحة المصدر مسروقة. ويتم تغيير أسماء البرامج لجعل المستودعات تبدو فريدة وأصلية. كما يتم ربط معلومات تسجيل الشركات من سجل الشركات بشركات تحمل أسماء مشابهة.
يُفصّل موقع Gitbook معلومات الشركات ويُدرج شراكات استثمارية وهمية لإضفاء المصداقية. تظهر صور من لعبة Zombie Within، مسروقة من اللعبة نفسها، على أنها محتوى من لعبة Eternal Decay. تُنشئ بعض الشركات الوهمية متاجر لبيع منتجاتها كجزء من واجهاتها التجارية.
تُساهم هذه العناصر مجتمعةً في خلق مظهرٍ مُقنعٍ لشركاتٍ ناشئة، مما يزيد من معدلات نجاح عمليات الاحتيال. ويتلقى الضحايا اتصالاتٍ من موظفين عبر تطبيقات مثل X-messages أو Telegram أو Discord. ويُقدّم هؤلاء الموظفون الوهميون مدفوعاتٍ بالعملات الرقمية مقابل المشاركة في اختبارات البرمجيات.
برامج ضارة تستهدف مستخدمي محافظ العملات المشفرة على نظامي التشغيل ويندوز وماك أو إس
يتم توزيع إصدارات ويندوز عبر تطبيقاتtron التي تطلب رموز تسجيل من موظفين منتحلين. يقوم المستخدمون بتنزيل الملفات بعد إدخال الرموز المُرسلة عبر رسائل وسائل التواصل الاجتماعي. تظهر شاشات التحقق من كلاود فلير قبل تنفيذ البرامج الضارة على الأنظمة المستهدفة.
يجمع البرنامج الخبيث بيانات تعريف النظام، بما في ذلك اسم المستخدم، وتفاصيل وحدة المعالجة المركزية، وذاكرة الوصول العشوائي، وبطاقة الرسومات. كما يتم جمع عناوين MAC ومعرفات UUID الخاصة بالنظام في مراحل الاستطلاع الأولية. وتستخدم آليات المصادقة القائمة على الرموز المميزة رموزًا مشتقة من عناوين URL الخاصة بمشغلات التطبيقات.
تساهم شهادات توقيع الشفرة المسروقة في تعزيز شرعية البرامج وتجنب اكتشافها أمنيًا. وقد استُخدمت شهادات من شركات مثل Jiangyin FengyuantronCo. و Paperbucketmdb ApS. يتم استرجاع بايثون وتخزينها في مجلدات مؤقتة لتنفيذ الأوامر.
تُصدر توزيعات macOS كملفات DMG تحتوي على نصوص برمجية Bash وملفات تنفيذية. تستخدم هذه النصوص تقنيات إخفاء مثل ترميز Base64 وتشفير XOR. يقوم AppleScript بتثبيت البرامج الضارة وتشغيل الملفات التنفيذية من مجلدات مؤقتةmatic.
يقوم برنامج خبيث لنظام macOS بإجراء فحوصات مضادة للتحليل لبيئات QEMU وVMWare وDocker. يستهدف برنامج Atomic Stealer بيانات المتصفح، ومحافظ العملات الرقمية، وملفات تعريف الارتباط، وملفات المستندات. تُضغط البيانات المسروقة وتُرسل عبر طلبات POST إلى الخوادم.
تُنشئ نصوص باش إضافية اتصالاً مستمراً عبر إعدادات وكيل التشغيل عند تسجيل الدخول. يسجل البرنامج الخبيث استخدام التطبيقات النشطة ومعلومات النوافذ بشكل متواصل. تُسجل طوابع زمنية لتفاعل المستخدم وتُرسل إلى خوادم التجميع بشكل دوري.
يستهدف كلا الإصدارين بيانات محافظ العملات المشفرة تحديدًا لعمليات السرقة. وتقوم العديد من الشركات الوهمية بتوزيع برامج خبيثةdentبعلامات تجارية ومواضيع مختلفة.
قائمة شاملة بالشركات الوهمية التيdentتحديدها عبر منصات متعددة
كشفتtracدقيقة عن عدة شركات وهمية تدير حملة هندسة اجتماعية. تنتحل شركة Pollens AI صفة أدوات إنشاء تعاونية باستخدام حسابات X ومواقع إلكترونية أخرى. تستخدم Buzzu نفس الشعارات والبرمجيات التي تستخدمها Pollens، ولكنها تعمل تحت علامة تجارية مختلفة.
يُقال إن شركة Cloudsign تُقدّم خدمات منصة توقيع المستندات لعملاء الشركات. أما Swox فهي شبكة تواصل اجتماعي من الجيل التالي تعتمد على منصة Web3. وترتبط KlastAI ارتباطًا وثيقًا بحسابات ومواقع Pollens التي تحمل نفس العلامة التجارية.
تستخدم Wasper نفس الشعارات وشفرة GitHub التي تستخدمها Pollens في مختلف المجالات. وتعمل Lunelior من خلال مواقع إلكترونية متعددة تخدم فئات مختلفة من المستخدمين. وكانت BeeSync تعمل سابقًا تحت اسم Buzzu قبل تغيير علامتها التجارية في يناير 2025.
تستضيف شركة Slax مواقع التواصل الاجتماعي والمواقع التي تركز على الذكاء الاصطناعي على عدة مواقع إلكترونية. وتصل شركة Solune إلى المستخدمين من خلال نشاطهم على منصات التواصل الاجتماعي واستخدامهم لتطبيقات المراسلة. أما شركة Eternal Decay فهي شركة ألعاب تعتمد على تقنية البلوك تشين، وتقدم عروضًا تقديمية تفاعلية في المؤتمرات.
يحمل Dexis نفس العلامة التجارية لـ Swox ويشتركان في نفس قاعدة المستخدمين. تمتلك NexVoo نطاقات متعددة وتدير منصات التواصل الاجتماعي. أعادت NexLoop تسمية علامتها التجارية إلى NexoraCore عن طريق تغيير أسماء مستودعات GitHub.
تستهدف شركة YondaAI مستخدمي مواقع التواصل الاجتماعي ومستخدمي مختلف نطاقات المواقع الإلكترونية. وتسعى كل شركة إلى بناء واجهات احترافية من خلال عمليات تكامل المنصات الحقيقية. وتقوم مجموعة CrazyEvil traffer بتنفيذ مثل هذه الحملات منذ عام 2021.
تُقدّر شركة Recorded Future إيرادات CrazyEvil بملايين الدولارات من الأنشطة الخبيثة. ويُقال إن المجموعة تقف وراء هجمات على مستخدمي العملات الرقمية والمؤثرين والعاملين DeFi . وتُظهر هذه الحملات جهودًا مكثفة في الظهور بمظهر تجاري شرعي.
