تسرق هذه البرامج الضارة ملايين اليورو من العملات المشفرة من خلال كسب ثقتك

كشفت شركة الأمن السيبراني Group-IB عن حملة ضارة استهدفت مستخدمي العملات المشفرة من خلال مواقع Coinbase المزيفة. وهنا ما نعرفه عنه.

Inferno Drainer عبارة عن عملية احتيال جديدة ومتطورة، كما يوحي الاسم، قادرة على القيام بهااستنزاف جميع الأموال الموجودة في محافظ العملات المشفرة للأشخاص، بما في ذلك الرموز القابلة للاستبدال وغير القابلة للاستبدال (NFTs).

ويستخدم صفحات تصيد عالية الجودة لخداع المستخدمينربط محافظ العملات المشفرة الخاصة بهم بخوادم المهاجمين. ثم قامت هذه البروتوكولات المنتحلة بـ Web3 بالسماح بالمعاملات الاحتيالية. بروتوكولات Web3 هي واجهات تسمح للمستخدمين بالتفاعل مع التطبيقات اللامركزية (DApps) على blockchain.

اقرأ أيضا-يشتبه في قيامه بعملية احتيال، ويطلب من مكتب التحقيقات الفيدرالي إعادة العملات المشفرة التي تم الاستيلاء عليها

من يقف وراء هذه الحملة الخبيثة الجديدة؟

تم تنفيذ عملية الاحتيال من قبل مجموعة من مجرمي الإنترنت الذين عرضوا برامجهم الضارة كخدمة للشركات التابعة الأخرى، والذين يمكنهم إما استضافة مواقع التصيد الخاصة بهم أو استخدام خدمة الاستضافة الخاصة بالمجموعة مقابل رسوم. تم إنشاء المجموعةأكثر من 16000 نطاق فريد يحاكي أكثر من 100 منصة، مثل Coinbase وMetamask وUniswap وBinance.

قامت Group-IB بتحليل 500 من هذه النطاقات ووجدت أنها تحتوي على أداة تجفيف تعتمد على JavaScript والتي تمت استضافتها في البداية على مستودع GitHub (kuzdaz.github[.]io/seaport/seaport.js) قبل دمجها مباشرة على مواقع الويب. المستخدم "kuzdaz" لم يعد موجودًا على GitHub. ويحتوي 350 نطاقًا آخر على نص برمجي مماثل، "coinbase-wallet-sdk.js"، في مستودع GitHub آخر، "kasrlorcian.github[.]io".

ثم قامت المجموعة بعد ذلك بنشر روابط التصيد الاحتيالي الخاصة بها على منصات مثل Discord وX (Twitter سابقًا)، حيث استدرجت المستخدمين إلىووعدهم برموز مجانية (تسمى "airdrops") واطلب منهم توصيل محفظتهم.وبمجرد قيام المستخدمين بذلك، فإن أداة التصريف سوف تنتحل بروتوكولات Web3 مثل Seaport وWalletConnect وCoinbase، وتنفذ معاملات غير مصرح بها تستنزف أموال المستخدمين.

بدلاً من تلقي عملية الإسقاط الجوي، بمجرد قيام الضحايا بربط محافظهم والموافقة على المعاملات، يقوم المُستنزف ببساطة بسحب جميع الأموال من الحسابات و،ونظرًا لطبيعة blockchain، فقد فقدت الأموال إلى الأبد.

البرمجيات الخبيثة تجلب الملايين من اليورو للقراصنة

وبحسب فياتشيسلاف شيفتشينكو، المحلل في Group-IB، فقد حاولت المجموعة أيضًا القيام بذلكإخفاء الأنشطة الضارة عن طريق منع المستخدمين من عرض الكود المصدري للموقعباستخدام مفاتيح الاختصار أو النقر بزر الماوس الأيمن.

حملة Inferno Drainer ليست الوحيدة من نوعها. في وقت سابق من هذا الشهر، تم اختراق حساب Mandiant X المملوك لشركة Google وتم استخدامه لتوزيع روابط إلى صفحة تصيد استضافت أداة تجفيف العملات المشفرة تسمى CLINKSINK.

أخبرت Group-IB The Hacker News أنها تتوقع أن يستمر نموذج "X كخدمة" في الازدهار لأنه يوفر لمجرمي الإنترنت طريقة سهلة ومربحة لبدء عمليات الاحتيال الخاصة بهم. كما حذروا من ذلكومن الممكن استهداف الحسابات الرسمية بشكل متكررر، سيارةيمكنهم إضفاء المصداقية على روابط التصيد الاحتيالي وزيادة احتمالية نقر المستخدمين عليها.

وكان من المفترض أن تستمر هذه الحملة لمدة عام واحد، بين عامي 2022 و2023، ومن المرجح أنها نجحت في سرقة أكثر من 87 مليون دولار من أكثر من 137 ألف ضحية. إنه كذلكجزء بسيط من الـ 2 مليار دولار التي تمت سرقتها في عام 2023. وبحسب ما ورد تم إغلاق Inferno Drainer في نوفمبر 2023، لكن لوحة المستخدم كانت لا تزال نشطة اعتبارًا من منتصف يناير من هذا العام.

بالإضافة إلى ذلك، قالت Group-IB إن نجاح Inferno Drainer يمكن أن يلهم تطوير برامج ضارة جديدة من هذا النوع وزيادة في مواقع الويب التي تحتوي على نصوص برمجية ضارة تنتحل بروتوكولات Web3. وتنبأ بذلك أيضاًقد يصبح عام 2024 "عام الاستنزاف".