هشدار دارک‌تِرِی: افزایش حملات مهندسی اجتماعی و سرقت رمزارز با نرم‌افزارهای مخرب در فضای مجازی

شرکت امنیت سایبری دارک‌تراست (Darktrace) هشدار داد که عوامل تهدید در فضای مجازی به‌کارگیری تاکتیک‌های پیچیده‌تر مهندسی اجتماعی را برای نفوذ و نصب نرم‌افزارهای مخرب سرقت رمزارز افزایش داده‌اند.

در جدیدترین گزارش وبلاگی خود، محققان دارک‌تراست جزئیات یک کمپین فریب‌کارانه را فاش کردند که در آن کلاهبرداران با جعل هویت شرکت‌های فعال در حوزه هوش مصنوعی، بازی‌های رایانه‌ای و وب۳ (Web3)، کاربران را فریب می‌دادند تا نرم‌افزارهای مخرب را دانلود کنند.

این طرح با بهره‌گیری از حساب‌های تایید شده و هک شده در توییتر (X) و همچنین اسناد پروژه‌ها در بسترهای معتبر، تصویر اعتبار و مشروعیت را القا می‌کند.

بر اساس این گزارش، روند عملیات معمولاً با تماس‌های فریب‌کارانه از طریق توییتر، تلگرام و دیسکورد آغاز می‌شود، جایی که مجرمان با ادعای نمایندگی از استارتاپ‌های نوظهور، کاربران را به انجام تست نرم‌افزار و دریافت رمزارز ترغیب می‌کنند.

در ادامه، قربانیان به وب‌سایت‌های ظاهراً معتبر این شرکت‌ها هدایت می‌شوند که طراحی آن‌ها مشابه استارتاپ‌های واقعی است و شامل اوراق سفید، نقشه راه، پروژه‌های گیت‌هاب (GitHub) و حتی فروشگاه‌های جعلی محصولات است.

پس از نصب نرم‌افزار مخرب، صفحه تأیید هویت Cloudflare ظاهر می‌شود که در حین آن، بدافزار به‌صورت پنهانی اطلاعات سیستم مانند مشخصات CPU، آدرس MAC و شناسه کاربر را جمع‌آوری می‌کند. این اطلاعات به سرور مهاجم ارسال می‌شود تا میزان قابلیت هدف‌گیری سیستم بررسی شود.

در صورت تأیید صحت اطلاعات، مرحله دوم حمله که معمولاً شامل سرقت اطلاعات کیف پول رمزارز است، به‌طور مخفیانه اجرا می‌شود و داده‌های حساس مانند اطلاعات کیف پول رمزارز کاربران را استخراج می‌کند.

نسخه‌های ویندوز و مک‌او‌اس این بدافزار شناسایی شده‌اند؛ برخی نسخه‌های ویندوز از گواهینامه‌های امضای دیجیتال سرقت‌شده از شرکت‌های معتبر بهره می‌برند.

دارک‌تراست معتقد است این کمپین شباهت‌هایی با تاکتیک‌های گروه‌های تراف (Traffer) دارد، که شبکه‌های جرائم سایبری تخصص یافته در نصب بدافزار از طریق محتوای فریب‌دهنده و بهره‌برداری از شبکه‌های اجتماعی هستند.

در حالی که هویت عوامل تهدید هنوز مشخص نیست، محققان بر این باورند که روش‌های مورد استفاده در این کمپین با الگوهای مشاهده‌شده در فعالیت‌های گروه‌های چون CrazyEvil تطابق دارد، گروهی که در حوزه هدف قرار دادن جوامع مرتبط با رمزارز شناخته می‌شود.

دارک‌تراست در پایان اعلام کرد، گروه CrazyEvil و تیم‌های زیرمجموعه آن با ساخت شرکت‌های جعلی مشابه نمونه‌های ذکرشده در این گزارش، از توییتر و میدیوم (Medium) برای هدف قرار دادن قربانیان بهره می‌برند و تخمین زده می‌شود که از فعالیت‌های مخرب خود میلیون‌ها دلار سود کسب کرده باشند.

تهدیدی همیشگی

در طول سال جاری، حملات مشابه بدافزارها چندین بار شناسایی شده است که یکی از این حملات مرتبط با کره شمالی، از طریق ارائه بروزرسانی‌های جعلی برنامه زوم (Zoom) برای نفوذ به دستگاه‌های مک‌اواس (macOS) شرکت‌های فعال در حوزه رمزارز صورت گرفته است.

مهاجمان در این حملات، از یک نوع جدید بدافزار با نام «نیم‌دور» (NimDoor) بهره برده‌اند که از طریق بروزرسانی مخرب SDK توزیع می‌شود. این بدافزار چندمرحله‌ای طوری طراحی شده است که قادر است اطلاعات کیف پول، داده‌های مرورگر و فایل‌های رمزگذاری‌شده تلگرام را سرقت کند و در عین حال، بر روی سیستم قربانی باقی بماند.

در نمونه‌ای دیگر، گروه هکری کره‌شمالی لیزارس (Lazarus) که به خاطر فعالیت‌های مخرب‌اش شهرت دارد، با جعل نقش استخدام‌کنندگان، قصد هدف قرار دادن حرفه‌ای‌های بی‌خبر را داشت. این گروه با استفاده از نوع جدیدی از بدافزار به نام «اترف‌کاکی» (OtterCookie)، در قالب جلسات مصاحبه ساختگی، حملات خود را انجام می‌داد.

پیش‌تر امسال، شرکتی در حوزه تحلیل بلاکچین به نام مرکل ساینس (Merkle Science) اعلام کرد که بیشتر حملات فیشینگ و مهندسی اجتماعی این سال، هدفشان افراد مشهور و رهبران فناوری بوده است که حساب‌های کاربری هک‌شده در شبکه‌های اجتماعی مانند توییتر (X) را برای این حملات به کار می‌گیرند.

منبع: کریپتو.نیوز