مخطط تصيد متطور يستغل منصة تدوين الملاحظات الرقمية المستخدمة على نطاق واسع لخداع عشاق العملات المشفرة
تم تحذير مستخدمي العملات المشفرة من عملية احتيال جديدة للهندسة الاجتماعية تخدع الضحايا لاستخدام المكونات الإضافية للمجتمع في تطبيق تدوين الملاحظات Obsidian لتشغيل برامج ضارة يمكنها التحكم في أجهزتهم دون علمهم.
قالت شركة Elastic Security Labs في تقرير يوم الثلاثاء إنها عثرت على حملة جديدة تستهدف العاملين في مجال العملات المشفرة والتمويل باستخدام "هندسة اجتماعية متقنة على LinkedIn وTelegram" لخداع الضحايا للسماح بتشغيل برامج ضارة، ولكنها تبدو آمنة على ما يبدو، على أجهزتهم.
يسيء المهاجمون استخدام النظام البيئي للمكونات الإضافية للمجتمع على Obsidian من أجل "تنفيذ التعليمات البرمجية بصمت عندما يفتح الضحية قبوًا سحابيًا مشتركًا"، مع تنفيذ الهجمات على كل من أجهزة Windows وmacOS.
إنها أحدث حملة هجومية معروفة تستهدف مستخدمي العملات المشفرة، وهو هدف شائع للمحتالين، حيث لا يمكن عكس معاملات blockchain. وفي عام 2025، تمت سرقة 713 مليون دولار من خلال اختراق محافظ العملات الرقمية الفردية، وفقًا لشركة Chainalogy.
قالت شركة Elastic إن المحتالين يتواصلون مع الضحايا على LinkedIn تحت ستار كونهم شركة رأس مال استثماري، ثم يقومون في النهاية بتوجيه المحادثة إلى Telegram في المناقشات حول "الخدمات المالية، وتحديدًا حلول سيولة العملات المشفرة، مما يخلق سياقًا تجاريًا معقولاً".
يطلب المهاجمون من هدفهم استخدام Obsidian، وتأطيرها على أنها قاعدة بيانات شركتهم المزيفة للوصول إلى لوحة معلومات مشتركة، ويتم منح الضحية المحتملة تسجيل دخول للاتصال بقبو مستضاف على السحابة يتحكم فيه المهاجمون.
وقال مرونة "هذا القبو هو ناقل الوصول الأولي". "بمجرد فتحه في Obsidian، يتم توجيه الهدف لتمكين مزامنة المكونات الإضافية للمجتمع. بعد ذلك، تنفذ المكونات الإضافية المصابة بفيروس طروادة سلسلة الهجوم بصمت."
المصدر: مختبرات الأمن المرنة
تختلف الهجمات قليلاً على نظامي التشغيل Windows وmacOS، لكن كلاهما ينشر حصان طروادة غير الموثق مسبقًا للوصول عن بعد، أو RAT، والذي أطلق عليه اسم "PHANTOMPULSE".
وتمنح البرمجيات الخبيثة، التي تتنكر في هيئة برامج شرعية، للمهاجمين السيطرة على جهاز الضحية، مع إضافة Elastic أنها "مصممة للتخفي والمرونة والوصول الشامل عن بعد".
قالت Elastic إن PHANTOMPULSE تستخدم آلية قيادة وتحكم لا مركزية عبر ثلاث شبكات مختلفة على الأقل من بلوكتشين، وذلك باستخدام بيانات المعاملات على السلسلة المرتبطة بمحفظة معينة للاتصال بالمهاجم وتلقي التعليمات.
ذات صلة: وزارة الخزانة الأمريكية توسع نطاق معلومات تهديد الأمن السيبراني لتشمل صناعة العملات المشفرة
قال Elastic: "توفر هذه التقنية للمشغل قدرة دوران مستقلة عن البنية التحتية". "نظرًا لأن معاملات بلوكتشين غير قابلة للتغيير ويمكن الوصول إليها بشكل عام، يمكن للبرامج الضارة دائمًا تحديد موقع C2 [آلية القيادة والتحكم] الخاصة بها دون الاعتماد على البنية التحتية المركزية."
وأضافت: "إن استخدام ثلاث سلاسل مستقلة يزيد من التكرار: حتى إذا كان مستكشف إحدى السلاسل محظورًا أو غير متاح، فإن السلاسل المتبقية توفر مسارات حل بديلة".
قالت شركة Elastic إنها كانت قادرة على منع الهجوم، لكنها تظهر أن المهاجمين "يواصلون العثور على ناقلات وصول أولية إبداعية" لأن إساءة استخدام النظام البيئي للمكونات الإضافية الذي يديره مجتمع Obsidian سمحت لهم بتجنب "ضوابط الأمان التقليدية تمامًا، والاعتماد على الوظيفة المقصودة للتطبيق لتنفيذ تعليمات برمجية عشوائية".
وأضافت أن الشركات المالية وشركات العملات المشفرة "يجب أن تدرك أن أدوات الإنتاجية المشروعة يمكن أن تتحول إلى ناقلات هجوم"، ويجب على المؤسسات فرض سياسات المكونات الإضافية على مستوى التطبيق للدفاع ضد الهجمات المماثلة.
مجلة: قد يستغرق Bitcoin 7 سنوات للترقية إلى ما بعد الكم - مؤلف مشارك BIP-360