يستغل المحتالون الآن منصة إعلانات جوجل، وهي من أبرز المنصات الرقمية، لسرقة العملات المشفرة من المستخدمين غير الحذرين. فقد باتت الإعلانات الضارة تشبه إلى حد كبير الروابط الأصلية للتطبيقات الرقمية الشهيرة، وعند النقر عليها، يجد المستخدمون أنفسهم على صفحات ويب مصممة لسحب محتويات محافظهم الرقمية أو خداعهم للإفصاح عن عبارات الاسترداد السرية الخاصة بهم.
تمثل حملات إعلانات جوجل الخبيثة نمطاً متزايداً من الهجمات الإلكترونية، حيث شهدت وتيرتها ارتفاعاً ملحوظاً في عام 2026. وفي شهر مارس وحده، بلغ نشاط هذه الحملات ذروته، حيث قام المهاجمون بتشغيل إعلانات زائفة على مدار أسابيع متتالية أكثر من عام. وقد استهدفت هذه الحملات بعض المنصات الأكثر استخداماً في عالم العملات المشفرة، بما في ذلك Uniswap، PancakeSwap، Morpho Finance، Hyperliquid، CoW Swap، بالإضافة إلى علامة المحافظ الإلكترونية Ledger.
وتشير هذه الحملات، من حيث نطاقها وتكرارها، إلى جهود إجرامية منظمة للغاية لا تظهر أي علامات على التباطؤ. وقد قام محللو الأمن السيبراني في شركة SecurityAlliance (SEAL) بتحديد وتتبع عدة جهات فاعلة تقف وراء هذه الأنشطة العدائية.
حملات إعلانات جوجل الخبيثة تستهدف مستخدمي العملات المشفرة
لاحظ الباحثون أن المهاجمين يستخدمون ثلاثة أنواع رئيسية من الحمولة الخبيثة: برامج سحب العملات المشفرة (wallet drainers)، وبرامج سرقة عبارات الاسترداد (seed phrase stealers)، بالإضافة إلى ملحقات المتصفح المزيفة. تعمل برامج سحب العملات المشفرة على دفع الضحايا، عبر جافاسكريبت داخل المتصفح، للموافقة على معاملات ضارة. في المقابل، تقدم برامج سرقة عبارات الاسترداد نسخة مستنسخة من الموقع الأصلي حيث يُطلب من المستخدم إدخال عبارة استرداد المحفظة الخاصة به مباشرة. أما ملحقات المتصفح المزيفة، فيتم توزيعها عبر روابط من متجر Chrome Web Store، لتكتمل بذلك أدوات الهجوم.
في غضون أسابيع قليلة فقط، تمكنت SEAL من حظر أكثر من 356 عنوان URL إعلاني خبيث، وهو رقم يعكس جزءاً بسيطاً من الحجم الحقيقي للمشكلة. وتؤكد الخسائر المالية الموثقة حتى الآن شدة هذه الهجمات. فبين 13 مارس و 30 مارس 2026، سُرق ما لا يقل عن 1,274,259 دولاراً من الضحايا، مرتبطاً بشكل مباشر بـ 810,929 دولاراً في هجمات محددة. وقد وصل أحد عمليات السرقة الفردية في أوائل مارس 2026 إلى 385,000 دولار. وتوِضح SEAL أن المجموع الفعلي من المرجح أن يكون أكبر بكثير، نظراً لأن تحديد المصدر الدقيق للهجوم يتطلب غالباً تقدم الضحايا بتفاصيل كاملة.
البنية التحتية للهجوم: آلية عمل خفية
أحد الجوانب الأكثر إثارة للقلق في هذه الحملة هو آلية تقديم الإعلانات المزيفة. فبدلاً من توجيه المستخدم مباشرة إلى صفحة ضارة، يعتمد المهاجمون على بنية تحتية متعددة الطبقات تجعل التهديد خفياً عن أنظمة الكشف الآلي لدى جوجل. فالإعلان يوجه المستخدم إلى صفحة مستضافة على نطاقات موثوقة تابعة لجوجل، مثل sites.google.com أو docs.google.com، مما يسمح له بتجاوز عملية مراجعة جوجل لأن عنوان URL الأولي يبدو آمناً تماماً.
يتم تحميل المحتوى الخبيث الفعلي بشكل منفصل عبر نوافذ iframe مخفية، ويتم ربطه ببرامج للتتبع وإخفاء الهوية (fingerprinting and cloaking scripts). تتحقق هذه البرامج مما إذا كان الزائر باحثاً أمنياً أم مستخدماً عادياً، وتستجيب بشكل مختلف في كل حالة. حيث يتم توجيه الزوار غير المستهدفين إلى صفحات غير ضارة مثل ويكيبيديا، بينما يتم تقديم نسخة طبق الأصل من التطبيق المستهدف للمستخدمين الفعليين، والتي تبدو من الناحية البصرية مماثلة تماماً للأصل.
تعمل طبقة وسيطة (man-in-the-middle proxy) بعد ذلك على اعتراض جميع حركة مرور الشبكة الناتجة عن الواجهة المستنسخة، بما في ذلك طلبات معاملات الإيثيريوم، ثم توجيهها عبر البنية التحتية للمهاجم قبل وصولها إلى أي نقطة نهاية حقيقية. وهذا يمنح المهاجمين رؤية مباشرة لرصيد المحفظة ونشاط الضحية. وعندما تقوم SEAL بحظر عنوان URL خبيث، يكتشف نظام المهاجم ذلك على الفور تقريباً ويعاود إطلاق الحملة بإعلان جديد وصفحة هبوط جديدة، وأحياناً في غضون دقائق من عملية الإغلاق.
تناشد SEAL جميع مستخدمي العملات المشفرة التوقف عن استخدام بحث جوجل عند الانتقال إلى تطبيقات العملات المشفرة. يجب على المستخدمين حفظ عناوين URL الموثوقة كإشارات مرجعية والوصول إليها مباشرة في كل مرة. وللتحقق من الروابط، يمكن استخدام أدوات فهرسة العملات المشفرة المخصصة، مثل search.defillama.com، للتأكد من الموقع الصحيح قبل توصيل المحفظة. ويجب على المؤسسات التي تدير الأصول الرقمية تطبيق سياسات صارمة للوصول عبر عنوان URL المباشر وتجنب النقر على أي نتيجة بحث، بما في ذلك تلك التي تحمل علامة “برعاية”.
وقد قامت جوجل بتعليق جميع حسابات المعلنين التي تم تحديدها في هذا التقرير، إلا أن الحملة مستمرة حيث يتم نشر حسابات جديدة بسرعة. ويظل البقاء على اطلاع دائم والاعتماد فقط على الروابط المحفوظة هو الحماية الأكثر فعالية المتاحة اليوم.