اكتشف باحثو الأمن السيبراني عملية برمجيات خبيثة لمدة عام استهدفت مستخدمي العملات المشفرة من خلال إنشاء عدد من التطبيقات المزيفة.
حذرت شركة Intezer Labs الأمنية من أن الزيادة المستمرة في أسعار العملات المشفرة أدت إلى زيادة النشاط بين المتسللين والجهات الخبيثة التي تسعى إلى تحقيق مكاسب مالية. تم نشر البرنامج الضار خلال العام الماضي ، ولكن تم اكتشافه فقط في ديسمبر 2020.
وأضاف التقرير أن طروادة الوصول عن بعد الجديدة (RAT) ، التي يطلق عليها ElectroRAT ، تم استخدامها لإفراغ محافظ العملات المشفرة لآلاف مستخدمي Windows و macOS و Linux.
ثلاثة تطبيقات متعلقة بالعملات المشفرة تم نشرها في الهجوم – Jamm و eTrade / Kintum و DaoPoker – تمت استضافتها جميعًا على مواقع الويب الخاصة بهم. الأولين عبارة عن تطبيقات تداول مزيفة للعملات المشفرة بينما الثالث يعتمد على المقامرة.
تعتبر البرمجيات الخبيثة ElectroRAT المخفية داخل هذه التطبيقات تطفلية للغاية وفقًا للباحثين ؛
“لديه إمكانيات متنوعة مثل تسجيل لوحة المفاتيح وأخذ لقطات الشاشة وتحميل الملفات من القرص وتنزيل الملفات وتنفيذ الأوامر على وحدة تحكم الضحية.”
بعد إطلاقها على كمبيوتر الضحية ، تُظهر التطبيقات واجهة مستخدم أمامية مصممة لتحويل الانتباه عن عمليات الخلفية الضارة. تم الترويج للتطبيقات باستخدام منصات التواصل الاجتماعي Twitter و Telegram بالإضافة إلى المنتديات القائمة على العملات المشفرة مثل Bitcointalk.
قدرت Intezer Labs أن الحملة أصابت بالفعل “آلاف الضحايا” الذين أفرغوا محافظهم المشفرة. وأضافت أن هناك أدلة على أن بعض الضحايا الذين تعرضوا للاختراق من خلال التطبيقات كانوا يستخدمون محافظ تشفير شهيرة مثل MetaMask.
تمت كتابة البرامج الضارة بلغة برمجة متعددة المنصات تسمى Golang مما يجعل من الصعب اكتشافها. ذكرت شركة الأمان أنه من غير المألوف رؤية RAT المصممة لسرقة المعلومات الشخصية من مستخدمي العملات المشفرة والتي تمت كتابتها من الصفر ، مضيفة ؛
“من النادر رؤية مثل هذه الحملة واسعة النطاق والمستهدفة التي تتضمن مكونات مختلفة مثل التطبيقات والمواقع المزيفة ، وجهود التسويق / الترويج عبر المنتديات ذات الصلة ووسائل التواصل الاجتماعي.”
كان هناك عدد من الحالات في عام 2020 حيث ظهرت إصدارات مزيفة من التطبيقات المشروعة وإضافات المستعرضات مثل MetaMask أو Ledger إلى أجهزة الكمبيوتر الخاصة بالضحايا. قد يكون هذا مرتبطًا باختراق بيانات ليدجر الهائل في منتصف ديسمبر.
في سبتمبر 2020 ، كان مستخدمو Coinbase من بين ضحايا البرامج الضارة الجديدة المستندة إلى Android والتي تم نشرها عبر متجر Google Play.
