خدعة الشركات المزيفة: حملة تصيّد تستهدف مستخدمي العملات الرقمية ببرمجيات خبيثة متقدمة

في تهديد متصاعد لمستخدمي العملات الرقمية، كشفت شركة الأمن السيبراني Darktrace عن حملة هندسة اجتماعية معقدة تستخدم شركات وهمية في مجالات الذكاء الاصطناعي، الألعاب، وWeb3 لخداع الضحايا وتحميل برمجيات خبيثة على أجهزة Windows وmacOS.

الاحتيال من خلال العلامات التجارية الزائفة

تقوم الجهات المهاجمة بإنشاء حسابات على مواقع مثل X (تويتر سابقًا) وGitHub وNotion لتبدو وكأنها شركات حقيقية تعمل في مجالات تقنية متقدمة. وفقًا للباحثة تارا غولد، فإن هذه العمليات “تستخدم وسائل إقناع احترافية تشمل مدونات تقنية، مستندات مشاريع، وخطط طريق مزيفة”.

من الأمثلة على هذه الشركات المزيفة:

• Eternal Decay (حساب X: @metaversedecay)

• BeeSync, Buzzu, Cloudsign, Dexis, KlastAI, Lunelior

• NexLoop, NexoraCore, NexVoo, Pollens AI

• Slax, Solune, Swox, Wasper, YondaAI

كيف تبدأ الهجمة؟

1. يتلقى الضحية رسالة من أحد هذه الحسابات عبر X أو Telegram أو Discord.

2. تُعرض عليه فرصة لاختبار تطبيق برمجي مقابل دفع بعملة مشفرة.

3. يتم توجيهه إلى موقع ويب مزيف لتحميل البرنامج بعد إدخال رمز تسجيل مزعوم.

4. يتم تحميل ملف خبيث إما بصيغة MSI (لـ Windows) أو DMG (لـ macOS).

هجوم متعدد المراحل على Windows

• عند فتح التطبيق، تُعرض شاشة تحقق وهمية من Cloudflare بينما يتم سرًا:

  • تحليل النظام

  • تحميل ملف MSI

  • تشغيل برنامج خبيث يعتقد أنه أداة لسرقة المعلومات (Stealer)

الاختراق على أجهزة macOS

يؤدي ملف DMG إلى تثبيت برمجية Atomic macOS Stealer (AMOS) التي تقوم بـ:

• سرقة الوثائق، بيانات المتصفح، ومعلومات المحفظة الرقمية.

  اقرأ أيضًا...

  • تعاون IEEE وPixar في تحدي RenderMan: منصة لصقل المواهب وتكريم التكنولوجيا
  • لماذا لا تزال الهواتف الأرضية ضرورية في عالم تهيمن عليه التكنولوجيا اللاسلكية؟
  • التقنيات المستخدمة في المسلسلات العربية الحديثة وأحدث الإنتاجات الدرامية
  • تيزلا بروز يرفضون قبول خسارتهم في رهان خدمة الروبوتاكسي السائق الآلي
  • عودة هجوم Pay2Key: برنامج فدية مدعوم من إيران يستهدف إسرائيل والولايات المتحدة

• إنشاء Launch Agent لضمان التشغيل التلقائي عند تسجيل الدخول.

• تنفيذ سكربت shell لاستمرارية السيطرة على الجهاز.

• تشغيل برنامج بلغة Objective-C أو Swift لتسجيل التفاعل مع التطبيقات وإرسال البيانات لسيرفر خارجي.

روابط مع مجموعة Crazy Evil

تشير Darktrace إلى تشابه التكتيكات مع مجموعة تُعرف باسم Crazy Evil، والتي استخدمت سابقًا برمجيات خبيثة مثل:

• StealC

• AMOS

• Angel Drainer

لكن لم يتم التأكيد حتى الآن ما إذا كانت نفس الجهة تقف وراء هذه الحملة.

احترافية في التمويه

ما يميّز هذه الحملة عن غيرها هو مستوى الإقناع العالي، حيث تبدو “الشركات” حقيقية جدًا بفضل:

• مواقع ويب احترافية

• صور رقمية معدّلة لإظهار وجودهم في مؤتمرات تقنية

• مدونات تقنية ومنشورات علمية مزيفة

تُعد هذه الحملة تذكيرًا قويًا بمدى تطور أساليب الهندسة الاجتماعية والهجمات السيبرانية، وخاصة في المجال المتنامي للعملات الرقمية. يُنصح المستخدمون بعدم الوثوق بأي جهة تطلب تحميل برمجيات مقابل عوائد مالية، حتى وإن بدت “احترافية”.

المصدر:- The Hacker News