حملة GreedyBear تسرق 1 مليون دولار في العملات المشفرة باستخدام أكثر من 150 إضافة ضارة لمتصفح فايرفوكس
حملة جديدة تم اكتشافها تُدعى GreedyBear استغلت أكثر من 150 إضافة ضارة في سوق فايرفوكس، تم تصميمها لتقليد محافظ العملات المشفرة الشهيرة وسرقة أكثر من مليون دولار من الأصول الرقمية.
تظاهر الإضافات المنشورة بأنها MetaMask وTronLink وExodus وRabby Wallet، من بين آخرين، وفقًا للباحث في Koi Security توفال أدوموني.
ما يجعل هذا النشاط ملحوظًا هو استخدام المهاجمين لتقنية تُسمى Extension Hollowing لتجاوز الضوابط التي وضعتها موزيلا واستغلال ثقة المستخدمين. ومن الجدير بالذكر أن بعض جوانب الحملة تم توثيقها لأول مرة من قبل الباحث الأمني لوكاز أوليجنيك الأسبوع الماضي.
“بدلاً من محاولة تمرير إضافات ضارة خلال المراجعات الأولية، يقومون ببناء مجموعة من الإضافات التي تبدو شرعية أولاً، ثم يستخدمونها لاحقًا عندما لا يكون أحد يراقب،” قال أدوموني في تقرير نُشر يوم الخميس.
لتحقيق ذلك، يقوم المهاجمون أولاً بإنشاء حساب ناشر في السوق، وتحميل إضافات غير ضارة بدون وظائف فعلية لتجاوز المراجعات الأولية، ونشر تقييمات إيجابية مزيفة لإنشاء وهم بالموثوقية، وتعديل محتوياتها بإمكانيات ضارة.
تم تصميم الإضافات المزيفة لالتقاط بيانات اعتماد المحفظة التي يدخلها المستخدمون غير المشتبه بهم وإرسالها إلى خادم يتحكم فيه المهاجم. كما تجمع عناوين IP للضحايا لأغراض تتبع محتملة.
تُقيّم الحملة على أنها امتداد لنسخة سابقة تُدعى Foxy Wallet التي تضمنت نشر المهاجمين لما لا يقل عن 40 إضافة ضارة لمتصفح فايرفوكس بنفس الأهداف. تشير الزيادة الأخيرة في عدد الإضافات إلى تزايد حجم العملية.
تُعزز هجمات سرقة العملات المشفرة من المحافظ المزيفة بحملات توزع تنفيذات ضارة عبر مواقع روسية متنوعة تروج للبرامج المقرصنة والمقرصنة، مما يؤدي إلى نشر برامج سرقة المعلومات وحتى الفدية.
كما وجد ممثلو GreedyBear أنهم قاموا بإعداد مواقع احتيالية تتظاهر بأنها منتجات وخدمات للعملات المشفرة، مثل أدوات إصلاح المحافظ، لخداع المستخدمين في النهاية للحصول على بيانات اعتماد محافظهم أو تفاصيل الدفع، مما يؤدي إلى سرقة البيانات المالية.
قالت Koi Security إنها تمكنت من ربط ثلاثة مجالات هجوم بفاعل تهديد واحد بناءً على أن النطاقات المستخدمة في هذه الجهود تشير جميعها إلى عنوان IP واحد: 185.208.156[.]66، والذي يعمل كخادم للتحكم وإدارة البيانات.
هناك أدلة تشير إلى أن الهجمات المتعلقة بالإضافات تتوسع لاستهداف أسواق المتصفحات الأخرى. يستند ذلك إلى اكتشاف إضافة جوجل كروم تُدعى Filecoin Wallet التي استخدمت نفس خادم التحكم والمنطق الأساسي لسرقة بيانات الاعتماد.
لتزداد الأمور سوءًا، كشفت تحليل القطع الأثرية عن علامات تشير إلى أنها قد تم إنشاؤها باستخدام أدوات مدعومة بالذكاء الاصطناعي (AI). وهذا يبرز كيف أن المهاجمين يسيئون استخدام أنظمة الذكاء الاصطناعي لتمكين الهجمات على نطاق واسع وبسرعة.
“تشير هذه التنوعات إلى أن المجموعة لا تستخدم مجموعة أدوات واحدة، بل تعمل على خط توزيع برامج ضارة واسع، قادر على تغيير التكتيكات حسب الحاجة،” قال أدوموني.
“لقد تطورت الحملة منذ ذلك الحين، والفرق الآن هو الحجم والنطاق: لقد تحولت إلى حملة سرقة بيانات اعتماد وأصول متعددة المنصات، مدعومة بمئات من عينات البرمجيات الضارة وبنية تحتية احتيالية.”
سارقي Ethereum يتظاهرون بأنهم روبوتات تداول لسرقة العملات المشفرة
تأتي هذه الإعلانات في الوقت الذي حذرت فيه SentinelOne من عملية احتيال واسعة النطاق ومستمرة في العملات المشفرة تتضمن توزيع عقد ذكي ضار متنكر كروبوت تداول من أجل سحب محافظ المستخدمين. يُقدر أن مخطط سارقي Ethereum، النشط منذ أوائل عام 2024، قد جنى بالفعل أكثر من 900,000 دولار من الأرباح المسروقة.
“تُسوق الاحتيالات من خلال مقاطع فيديو على يوتيوب تشرح الطبيعة المفترضة لروبوت تداول العملات المشفرة وتوضح كيفية نشر عقد ذكي على منصة Remix Solidity Compiler، وهي بيئة تطوير متكاملة قائمة على الويب لمشاريع Web3،” قال الباحث أليكس ديلاموت. “تشارك أوصاف الفيديو رابطًا لموقع خارجي يستضيف كود العقد الذكي المسلح.”
يُقال إن مقاطع الفيديو تم إنشاؤها بواسطة الذكاء الاصطناعي وتم نشرها من حسابات قديمة تنشر أخبار العملات المشفرة من مصادر أخرى كقوائم تشغيل في محاولة لبناء شرعية. كما تحتوي مقاطع الفيديو على تعليقات إيجابية بشكل ساحق، مما يشير إلى أن المهاجمين يقومون بنشاط بتنظيم أقسام التعليقات وإزالة أي تعليقات سلبية.
تم إنشاء أحد حسابات يوتيوب التي تدفع الاحتيال في أكتوبر 2022. وهذا إما يشير إلى أن المحتالين قاموا بزيادة مصداقية الحساب ببطء وثبات على مر الزمن أو قد قاموا بشرائه من خدمة تبيع مثل هذه القنوات القديمة عبر تيليجرام ومواقع مخصصة مثل Accs-market وAged Profiles.
تنتقل الهجمة إلى المرحلة التالية عندما يقوم الضحية بنشر العقد الذكي، بعد ذلك يتم توجيه الضحايا لإرسال ETH إلى العقد الجديد، مما يؤدي إلى توجيه الأموال إلى محفظة يتحكم بها المهاجم بشكل غير واضح.
“يجعل الجمع بين المحتوى الذي تم إنشاؤه بواسطة الذكاء الاصطناعي وحسابات يوتيوب القديمة المتاحة للبيع أي فاعل ذو موارد متواضعة قادرًا على الحصول على حساب يوتيوب يعتبره الخوارزمية ‘مؤسسًا’ واستخدام الحساب لنشر محتوى مخصص تحت ذريعة كاذبة من الشرعية،” قال ديلاموت.
