كاسبر سكاي تكشف عن نشاط احتيالي جديد يستهدف قطاع العملات الرقمية

في صناعة العملات الرقمية سريعة النمو، والتي يتم اعتمادها على نطاق واسع، لم تجذب العملات الرقمية المستخدمين الشرعيين فحسب، بل اجتذبت أيضاً مجرمي الإنترنت الذين يسعون إلى استغلال نقاط الضعف.

سلطت النتائج الأخيرة التي توصلت إليها شركة الأمن السيبراني كاسبر سكاي (Kaspersky) الضوء على هجوم ضار متطور يستهدف مستخدمي Macbook في مجال العملات الرقمية.

كاسبر سكاي تكشف تفاصيل العملية الاحتيالية

اكتشف خبراء كاسبر سكاي لاب أن المهاجمين أعادوا حزم التطبيقات التي تم اختراقها مسبقًا كملفات حزمة PKG وهو نوع من تنسيق الملفات شائع الاستخدام في أجهزة Macbook وقاموا بتضمين وكيل حصان طروادة وبرنامج نصي بعد التثبيت.

تم توزيع التطبيقات المحملة بالبرامج الضارة بشكل أساسي من خلال قنوات البرامج المقرصنة، بمجرد أن حاول المستخدمون تثبيت التطبيقات، قاموا ببدء عملية الإصابة دون قصد.

لخداع المستخدمين، عرضت حزمة التثبيت المصابة نافذة تحتوي على تعليمات التثبيت، وتطلب منهم نسخ التطبيق إلى الدليل Applications وتشغيل تطبيق يسمى Activator.

على الرغم من أن البرنامج يبدو بسيطاً للوهلة الأولى، إلا أن Activator طلب من المستخدمين إدخال كلمة مرور، مما منح امتيازات مسؤول البرامج الضارة بشكل فعال.

تقول كاسبر سكاي، أنه وعند التنفيذ، قامت البرمجيات الخبيثة بفحص النظام بحثاً عن نسخة مثبتة من لغة البرمجة Python 3، وفي حالة غيابها، قامت بتثبيت نسخة منسوخة مسبقاً من Python 3 من دليل نظام تشغيل Macbook.

تقوم البرامج الضارة بعد ذلك “بتصحيح” التطبيق الذي تم تنزيله من خلال مقارنة الملف القابل للتنفيذ المعدل بتسلسل مضمن داخل Activator، إذا تم العثور على تطابق، تقوم البرامج الضارة بإزالة البايتات الأولية، مما يجعل التطبيق يبدو متصدعاً وفعالاً للمستخدم، ومع ذلك، أصبحت النوايا الحقيقية للمهاجمين واضحة عندما بدأت البرمجيات الخبيثة حمولتها الرئيسية.

أنشأت العينة المصابة اتصالاً مع خادم القيادة والتحكم C2 عن طريق إنشاء محدد موقع الموارد URL  الفريد، أو عنوان الويب، من خلال مجموعة من الكلمات المشفرة واسم مجال عشوائي من المستوى الثالث.

سمحت هذه الطريقة للبرامج الضارة بإخفاء أنشطتها ضمن حركة مرور خادم DNS العادية، مما يضمن تنزيل الحمولة.

كشف البرنامج النصي الذي تم فك تشفيره والذي تم الحصول عليه من خادم C2 وهو خادم بعيد أو بنية تحتية يستخدمها مجرمو الإنترنت للتحكم في البرامج الضارة أو عمليات الروبوتات وإدارتها، أن البرامج الضارة تعمل عن طريق تنفيذ أوامر عشوائية مستلمة من الخادم، غالباً ما يتم تسليم هذه الأوامر كنصوص Python مشفرة Base64.

علاوة على ذلك، قامت البرمجيات الخبيثة بجمع معلومات حساسة من النظام المصاب، بما في ذلك إصدار نظام التشغيل، وأدلة المستخدم، وقائمة التطبيقات المثبتة، ونوع وحدة المعالجة المركزية، وعنوان IP الخارجي. ثم يتم إرسال البيانات المجمعة مرة أخرى إلى الخادم.

كاسبر سكاي تكشف أن حملة البرامج الضارة تستهدف تطبيقات محفظة العملات الرقمية

أثناء تحليل حملة البرامج الضارة، لاحظت كاسبر سكاي أن خادم C2 لم يُرجع أي أوامر أثناء التحقيق وتوقف في النهاية عن الاستجابة.

ومع ذلك، أدت المحاولات اللاحقة لتنزيل المرحلة الثالثة من برنامج بايثون النصي إلى اكتشاف تحديثات في البيانات الوصفية للبرنامج النصي، مما يشير إلى التطوير المستمر والتكيف من قبل مشغلي البرامج الضارة.

بالإضافة إلى ذلك، تحتوي البرامج الضارة على وظائف تستهدف على وجه التحديد تطبيقات محافظ العملات الرقمية الشائعة، مثل Exodus وBitcoin-Qt.

إذا تم اكتشاف هذه التطبيقات على النظام المصاب، فستحاول البرامج الضارة استبدالها بإصدارات مصابة تم الحصول عليها من مضيف مختلف، وهو apple-analyzer. com.

تضمنت محافظ العملات الرقمية المصابة آليات لسرقة كلمات مرور فتح المحفظة وعبارات الاسترداد السرية من المستخدمين المطمئنين.

وأكدت شركة كاسبر سكاي أن الجهات الفاعلة الخبيثة تواصل توزيع التطبيقات الخبيثة للوصول إلى أجهزة كمبيوتر المستخدمين.

من خلال استغلال ثقة المستخدم أثناء تثبيت البرنامج، يمكن للمهاجمين تصعيد امتيازاتهم بسهولة عن طريق مطالبة المستخدمين بإدخال كلمات المرور الخاصة بهم.

وسلطت كاسبر سكاي الضوء أيضاً على التقنيات التي تستخدمها حملة البرمجيات الخبيثة، مثل تخزين نص Python داخل سجل TXT للمجال على خادم DNS، مما يدل على “براعة” المهاجمين.