حملة احتيالية نشطة لسرقة المعلومات والعملات المشفرة

اكتشفت كاسبرسكي حملة احتيالية عبر الإنترنت تهدف لسرقة العملات المشفرة والمعلومات الحساسة من خلال استغلال مواضيع شائعة مثل الويب 3، والعملات المشفرة، والذكاء الاصطناعي، والألعاب عبر الإنترنت، وغيرها. تستهدف الحملة ضحايا من جميع أنحاء العالم، ويُعتقد أن مجرمين سيبرانيين ناطقين باللغة الروسية يقودونها لنشر برمجيات سرقة المعلومات وبيانات الحافظة.

اكتشف فريق كاسبرسكي للاستجابة للطوارئ العالمية حملة احتيالية تستهدف مستخدمي نظامي التشغيل Windows وmacOS في جميع أنحاء العالم، وذلك بهدف سرقة العملات المشفرة والمعلومات الشخصية. حيث يستغل المهاجمون مواضيع شائعة لجذب الضحايا بواسطة مواقع إلكترونية مزيفة تحاكي تصميم و واجهة العديد من الخدمات المشروعة. ومن بين الحالات الأخيرة، قلدت هذه المواقع منصة عملات مشفرة، ولعبة تقمص أدوار عبر الإنترنت، ومترجماً مدعوماً بالذكاء الاصطناعي. وعلى الرغم من وجود اختلافات بسيطة في عناصر المواقع الخبيثة مثل الاسم والرابط، إلا أنها تبدو محسنة ومتطورة، مما يزيد من احتمال وقوع هجمة ناجحة.

يتم استدراج الضحايا للتفاعل مع هذه الإعدادات المزيفة من خلال التصيد الاحتيالي. وقد صُممت المواقع المزيفة لخداع الضحايا ودفعهم لتقديم معلومات حساسة، مثل مفاتيح محفظة العملات المشفرة، أو تنزيل البرمجيات الخبيثة. بعد ذلك، يمكن للمهاجمين إما الاتصال بمحافظ العملات المشفرة الخاصة بالضحايا من خلال الموقع المزيف واستنزاف أموالهم، أو سرقة بيانات اعتماد مختلفة، وتفاصيل المحفظة، وغيرها من المعلومات بواسطة برمجيات سرقة المعلومات. 

قال أيمن شعبان، رئيس وحدة الاستجابة للحوادث لفريق الاستجابة للطوارئ العالمية لدى كاسبرسكي: «يشير الترابط بين الأجزاء المختلفة لهذه الحملة والبنية التحتية المشتركة الخاصة بها لعملية منظمة بشكل جيد، وقد تكون مرتبطة بجهة أو مجموعة ذات دوافع مالية محددة. وبجانب الحملات الفرعية الثلاث التي تستهدف مواضيع العملات المشفرة، والذكاء الاصطناعي، والألعاب، ساعدت بوابة معلومات التهديدات خاصتنا في تحديد البنية التحتية لـ 16 موضوعاً آخر، سواء لحملات فرعية قديمة  أو حملات جديدة لم تُطلق بعد. يوضح ذلك قدرة مصادر التهديد على التكيف السريع مع المواضيع الشائعة ونشر عمليات خبيثة جديدة استجابةً لها. وهو ما يؤكد الحاجة الملحة لحلول أمنية قوية وتعزيز الثقافة السيبرانية للحماية من التهديدات المتطورة.»

تمكنت كاسبرسكي من اكتشاف سلاسل محددة في الكود الخبيث المُرسل لخوادم المهاجمين في روسيا. وظهرت كلمة «ماموث» التي تستخدمها مصادر التهديد الروسية بمعنى «الضحية» في كل من اتصالات الخادم وملفات تنزيل البرمجيات الخبيثة. وأطلقت كاسبرسكي على الحملة اسم Tusk (ناب) للتأكيد على تركيزها على المكاسب المالية، حيث شبهت الحملة الضحايا بالماموث الذي يتم اصطياده من أجل أنيابه الثمينة.

تنشر الحملة برمجيات سرقة المعلومات مثل Danabot وStealc، بجانب برمجيات التلاعب بالحافظة مثل نسخة مفتوحة المصدر مكتوبة بلغة Go (تختلف البرمجيات الخبيثة حسب موضوع الحملة). وصُممت برمجيات سرقة المعلومات لسرقة المعلومات الحساسة مثل بيانات الاعتماد، بينما تقوم برمجيات التلاعب بالحافظة بمراقبة محتوى الحافظة باستمرار. وبمجرد نسخ عنوان محفظة العملات المشفرة إلى الحافظة، تقوم برمجية التلاعب بالحافظة باستبداله بعنوان خبيث.

يتم استضافة ملفات تحميل البرمجيات الخبيثة عبر منصة Dropbox. وبمجرد تنزيل هذه الملفات، تواجه الضحايا واجهات سهلة الاستخدام تخفي البرمجيات الخبيثة، وتطلب منهم إما تسجيل الدخول، أو إنشاء حساب، أو ببساطة البقاء على صفحة ثابتة. وفي هذه الأثناء، يتم تنزيل الملفات الخبيثة والحمولات المتبقية تلقائياً وتثبيتها على أنظمتهم.

يمكن العثور على التحليل الفني التفصيلي للحملة على موقع Securelist. للتعمق بشكل أكبر في عالم التهديدات السيبرانية المتطور باستمرار والتواصل المفيد، قم بالانضمام لقمة المحللين الأمنيين (SAS) من كاسبرسكي، والتي ستُقام للمرة السادسة عشر بين يومي 22 و25 أكتوبر 2024 في مدينة بالي. 

للتخفيف من حدة التهديدات السيبرانية المرتبطة بحملة Tusk، تقترح كاسبركسي التدابير التالية: 

•    تحقق مما إذا كانت بيانات اعتماد أجهزة أو تطبيقات الويب الخاصة بشركتك قد تعرضت للاختراق بواسطة برمجيات سرقة المعلومات عبر صفحة Kaspersky Digital Footprint Intelligence المخصصة.

•    أضف حماية قوية للنقاط الطرفية لتعزيز أمان شركتك بواسطة حلول الاكتشاف والاستجابة للنقاط الطرفية (EDR) وحلول الاكتشاف والاستجابة الموسعة (XDR)، مثل خط منتجات Kaspersky Next.

•    لحماية شركتك من برمجيات سرقة البيانات وتهديدات العملات المشفرة، يُنصح الأفراد باستخدام حلول أمنية شاملة لأي جهاز، مثل حل Kaspersky Premium. حيث يساعد ذلك على منع الإصابة بالهجمات والتنبيه لمخاطر مثل المواقع المشبوهة، أو رسائل البريد التصيدية، والتي عادة ما تكون مدخلاً أولياً للإصابة. ويمكن منذ الآن اكتشاف كافة العينات الخبيثة الجديدة من حملة Tusk بواسطة منتجات كاسبرسكي.

•    زود موظفيك بدورات أمن سيبراني إضافية لإبقائهم مطلعين على أحدث المستجدات. يسمح تدريب Kaspersky Expert Training المخصص لخدمة Windows Incident Response للمتخصصين ذوي الخبرة التدرب على الاستجابة للحوادث لتحديد الهجمات الأكثر تعقيداً، كما يقدم معرفة مركزة من خبراء فريق الاستجابة للطوارئ العالمية (GERT) من كاسبرسكي.

•    نظراً لأن برمجية سرقة المعلومات عادة ما تستهدف كلمات المرور، قم باستخدم أداة Kaspersky Password Manager لتسهيل استخدام كلمات المرور الآمنة.