لماذا تثق في Cryptonews؟
يستهدف القائمون على توظيف وظائف Web3 المزيفون المرتبطون بكوريا الشمالية الباحثين عن عمل عبر الإنترنت، ويخدعونهم لتنزيل برامج ضارة تتنكر في شكل تطبيق مكالمات فيديو – مما يؤدي إلى سرقة العملات المشفرة الخاصة بهم.
وفقًا لأحدث تقرير صادر عن فريق المخاطر السيبرانية الوحدة 42 من قبل شركة كبرى للأمن السيبراني بالو ألتو، وهو البديل الجديد للبرامج الضارة المكتشفة مسبقًا والتي تستهدف كلاً من نظامي التشغيل Windows وmacOS.
والجدير بالذكر أنه أصبح الآن قادرًا على سرقة العملات المشفرة من 13 محفظة مختلفة، بما في ذلك ميتاماسك, سلسلة بي إن بي, الخروج, فانتوم, ترونلينك, كريبتو.كوموأكثر من ذلك.
ويجادل الباحثون بأن هؤلاء هم جهات التهديد الكورية الشمالية الذين من المحتمل أن يكون لديهم دوافع مالية، ويعملون على دعم نظام جمهورية كوريا الشعبية الديمقراطية.
كيف يعمل
يستهدف المهاجمون أجهزة الباحثين عن عمل في مجال التكنولوجيا.
يتواصلون مع مطوري البرامج من خلال منصات البحث عن الوظائف ويدعوونهم لإجراء مقابلة عبر الإنترنت.
سيعمل المهاجم بعد ذلك على إقناع المطور بتنزيل وتثبيت البرامج الضارة المقدمة كتطبيق دردشة فيديو.
وبمجرد أن ينفذ الضحية الكود الخبيث، فإنه يبدأ العمل في الخلفية لجمع البيانات والأموال الرقمية.
دعونا نتحقق من بعض الأمثلة العديدة.
في يونيو 2024، حذر مقال على موقع Medium من شركات التوظيف المزيفة جيثب و لينكدإن بريميوم. على وجه التحديد، أطلق المؤلف هاينر على “Onder Kayabasi” اسم الحساب الذي اتصل بالكاتب عبر LinkedIn.
لم يعد حساب LinkedIn متاحًا، ولكن هناك حساب Twitter مشابه لا يزال نشطًا حتى وقت كتابة هذا التقرير.
وكتب هاينر أن حملات الهندسة الاجتماعية والاحتيال هذه “تهدف إلى إصابة الأشخاص وسرقة المعلومات والعملات المشفرة، وخاصة حسابات المطورين في العملة المشفرة، وسلسلة الكتل، والأمن السيبراني، ومجالات المقامرة عبر الإنترنت”.
كان مهندس برمجيات Full Stack، ريتشارد تشانغ، قد أبلغ بالفعل عن الحساب باعتباره جهة توظيف مزيفة. لقد قام عمدا بتشغيل التعليمات البرمجية في بيئة افتراضية “لأنه لا ينبغي عليك مطلقًا تشغيل تعليمات برمجية عشوائية لا تفهمها من طرف مشبوه”.
وكتب تشانغ أن كياباسي “لم يكن سعيدا”.
وأضاف أنه على الرغم من كونه “شريرًا” بالفعل، إلا أن الكود كان “معقدًا بشكل مدهش”.
من 9 إلى 13 محفظة
كانت الوحدة 42 تتتبع نشاط هؤلاء الممثلين منذ فترة، وكتبت لأول مرة عن هذه الحملة التي تحمل اسم “حملة المقابلات المعدية” في نوفمبر 2023.
ولكن منذ ذلك الحين، استمرت الأنشطة بتكرارات أحدث.
على وجه التحديد، لاحظ الباحثون تحديثات التعليمات البرمجية لقطعتين من البرامج الضارة: بيفر تيل تنزيل و النمس غير المرئي مستتر.
BeaverTail، برنامج التنزيل وسرقة المعلومات، هو البرنامج الضار الأولي. يقوم بتنفيذ التعليمات البرمجية الضارة الخاصة به في الخلفية دون أي مؤشرات مرئية.
تم تقديم الإصدار الأحدث من البرنامج الضار BeaverTail في وقت مبكر من يوليو 2024.
استخدم المهاجمون إطار العمل عبر الأنظمة الأساسية المسمى كيو تي، والذي يسمح للمطورين بإنشاء تطبيقات عبر الأنظمة الأساسية.
وأوضح التقرير أن هذا يعني أنه يمكن للمهاجمين استخدام نفس الكود المصدري لتجميع التطبيقات لنظامي التشغيل Windows وmacOS في وقت واحد.
تتضمن الميزات الإضافية في إصدار Qt الجديد من BeaverTail سرقة كلمات مرور المتصفح في نظام التشغيل macOS وسرقة محافظ العملات المشفرة في كل من نظامي التشغيل macOS وWindows.
وقال التقرير: “هذه الميزة الأخيرة تتوافق مع المصالح المالية المستمرة للجهات الفاعلة في مجال التهديد في كوريا الشمالية”.
الأهم من ذلك، أن إصدار Qt الأحدث هذا يستهدف 13 امتدادًا مختلفًا لمتصفح محفظة العملات المشفرة، مقارنة بالمحافظ التسعة المسجلة مسبقًا.
وقال الباحثون: “من بين الإضافات الـ13 الحالية، أضاف المؤلفون 5 لمحافظ جديدة، وأزالوا واحدًا”.
وتشمل هذه ميتاماسك, سلسلة بي إن بي, الخروج, فانتوم, ترونلينك, كريبتو.كوم, عملة98, كيكاس, رابي، و أرجنت إكس – ستاركنيت.
بعد هذه الخطوة، سيحاول المهاجمون تنفيذ الباب الخلفي InvisibleFerret. وتشمل مكوناته بصمة الإصبع، وجهاز التحكم عن بعد، وأداة سرقة المعلومات، بالإضافة إلى أداة سرقة المتصفح.
تسمح هذه الخطوة للمهاجمين بالحفاظ على السيطرة على الجهاز وتصفية البيانات الحساسة.
وهناك خطر رئيسي آخر، وفقا للتقرير، وهو الاختراق المحتمل للشركات التي توظف الباحثين عن عمل المستهدفين.
وشددوا على أن “الإصابة الناجحة على نقطة النهاية المملوكة للشركة يمكن أن تؤدي إلى جمع وتسرب معلومات حساسة”.
تنصح الوحدة 42 الأفراد والمنظمات بأن يكونوا على دراية بحملات الهندسة الاجتماعية المتقدمة هذه.
ولذلك، تقدم الوحدة 42 في تقريرها تدابير الحماية والتخفيف.