لفتت شركة SlowMist الانتباه إلى عملية احتيال جديدة تستهدف مستخدمي العملات المشفرة. تتخفى هذه العملية في صورة اجتماعات Zoom وهمية لنشر برامج ضارة تسرق البيانات الحساسة. وتتضمن روابط Zoom مزيفة تخدع الضحايا لتحميل ملفات خبيثة تهدف إلىtracأصول العملات المشفرة.
بحسب منصة أمن تقنية البلوك تشين "سلوميست"، استخدم المهاجمون الذين يقفون وراء عملية الاحتيال أسلوب تصيد متطورًا يتضمن نطاقًا يُحاكي نطاق موقع زووم الرسمي. يبدو موقع التصيد، "app[.]us4zoom[.]us"، مشابهًا جدًا لواجهة موقع زووم الأصلي.
⚠️ احذروا هجمات التصيد الاحتيالي المتخفية في صورة روابط اجتماعات Zoom! 🎣 يقوم المخترقون بجمع بيانات المستخدمين وفك تشفيرها لسرقة معلومات حساسة مثل عبارات الاستعادة والمفاتيح الخاصة. غالبًا ما تجمع هذه الهجمات بين الهندسة الاجتماعية وتقنيات أحصنة طروادة. اقرأوا تحليلنا الكامل ⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27 ديسمبر 2024
يُطلب من الضحايا النقر على زر "بدء الاجتماع"، والذي يتوقعون أن ينقلهم إلى جلسة زووم. ولكن بدلاً من فتح تطبيق زووم، يبدأ الزر في تنزيل ملف خبيث بعنوان "ZoomApp_v.3.14.dmg"
تم الكشف عن عملية تنفيذ برامج خبيثة وسرقة بيانات
بمجرد تنزيل الملف الخبيث، يقوم بتشغيل برنامج نصي يطلب كلمة مرور النظام الخاصة بالمستخدم. يقوم هذا البرنامج النصي بتشغيل ملف تنفيذي مخفي باسم ".ZoomApp"، مصمم للوصول إلى معلومات النظام الحساسة وجمعها، بما في ذلك ملفات تعريف الارتباط الخاصة بالمتصفح، وبيانات سلسلة المفاتيح، وبياناتdentمحفظة العملات المشفرة.
بحسب خبراء الأمن، صُممت هذه البرمجية الخبيثة خصيصًا لاستهداف مستخدمي العملات المشفرة، بهدف سرقة المفاتيح الخاصة وبيانات المحفظة الأخرى بالغة الأهمية. وبمجرد تثبيت الحزمة التي تم تنزيلها، سيتم تشغيل برنامج نصي يُسمى "ZoomApp.file"
عند تنفيذ البرنامج النصي، يطلب من المستخدمين إدخال كلمة مرور النظام الخاصة بهم، مما يمنح المتسللين دون علمهم إمكانية الوصول إلى البيانات الحساسة.
بعد فك تشفير البيانات، كشف SlowMist أن البرنامج النصي يقوم في النهاية بتنفيذ osascript ، والذي ينقل المعلومات التي تم جمعها إلى أنظمة الواجهة الخلفية للمهاجمين.
trac شركة SlowMist إنشاء موقع التصيد الاحتيالي قبل 27 يومًا، مشتبهةً بتورط قراصنة روس. يستخدم هؤلاء القراصنة واجهة برمجة تطبيقات Telegram لمراقبة النشاط على الموقع، trac ما إذا كان أي شخص قد نقر على رابط التحميل. ووفقًا لتحليل الشركة الأمنية، بدأ القراصنة باستهداف الضحايا في وقت مبكر من 14 نوفمبر.
تم تحويل الأموال المسروقة عبر عدة منصات تداول
trac على سلسلة الكتل Mist Trac للتحقيق في تحركات الأموال المسروقة. وقد أفادت التقارير أن عنوان المخترق، الذي تم dent على أنه 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac، قد حقق أرباحًا تزيد عن مليون دولار أمريكي من العملات المشفرة، بما في ذلك USD0++ وMORPHO وETH.
في تحليل مفصل، كشف موقع MistTrack أن عنوان المخترق قد قام بتبادل USD0++ و MORPHO مقابل 296 ETH.
أظهر المزيد من التحقيق أن عنوان المخترق تلقى تحويلات صغيرة من عملة ETH من عنوان آخر، 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e، والذي يبدو أنه كان مسؤولاً عن توفير رسوم المعاملات لمخطط المخترق.
وقد تبين أن هذا العنوان يقوم بتحويل كميات صغيرة من عملة ETH إلى ما يقرب من 8800 عنوان آخر، مما يشير إلى أنه قد يكون جزءًا من منصة أكبر مخصصة لتمويل رسوم المعاملات للأنشطة غير المشروعة.
بعد جمع الأموال المسروقة، تم تحويلها عبر منصات تداول مختلفة. من بين هذه المنصات: Binance، وجيت.آي أو، وبايبت، وميكسك. ثم جُمعت الأموال في عنوان مختلف، حيث تدفقت المعاملات إلى عدة منصات، بما في ذلك فيكسد فلوت Binance. هناك، حُوّلت الأموال المسروقة إلى عملة تيثر (USDT) وعملات رقمية أخرى.
تمكن المجرمون الذين يقفون وراء هذه العملية من الإفلات من العقاب المباشر باستخدام أساليب معقدة لغسل أموالهم غير المشروعة إلى عملات رقمية شائعة الاستخدام. وحذرت شركة SlowMist عشاق العملات الرقمية من أن موقع التصيد الاحتيالي والعناوين المرتبطة به قد تستمر في استهداف مستخدمي العملات الرقمية غير المشتبه بهم.
