كشفت شركة “إيلاستيك سيكيوريتي لابز” عن حملة برمجيات خبيثة مستمرة منذ أواخر عام 2023، تستغل المثبتات المزيفة للبرامج لتنزيل برامج الوصول عن بعد (RATs) وبرامج تعدين العملات المشفرة، في عملية اكتسبت اهتماماً كبيراً في مجال الأمن السيبراني.
تهدف الحملة، التي أطلق عليها اسم REF1695، إلى تحقيق مكاسب مالية من خلال خداع المستخدمين وإصابة أجهزتهم دون علمهم. ورغم استمرارها لأكثر من عامين، إلا أنها نجحت في البقاء ضمن نطاق الرصد المحدود لمعظم الضحايا.
تعتمد هذه الحملة على تقديم تجربة تثبيت تبدو حقيقية للمستخدمين، حيث يتم عرض شريط تقدم أو رسالة خطأ وهمية تفيد بفشل التثبيت بسبب متطلبات نظام غير مستوفاة. في هذه الأثناء، تكون البرمجيات الخبيثة قد تم زرعها بالفعل.
يستخدم المهاجم هذه الإلهاءات لضمان عدم شعور الضحايا بالشك حول الإجراءات التي تحدث في الخلفية. ويقوم هؤلاء المهاجمون بتحديث أدواتهم ودمج برامج خبيثة جديدة باستمرار للحفاظ على فعالية حملاتهم.
كشفت الأبحاث التي أجرتها “إيلاستيك سيكيوريتي لابز” عن أربع سلالات مختلفة للحملة، كل منها تستخدم مجموعة متنوعة من الأدوات الخبيثة. تضمنت هذه الأدوات PureRAT، وCNB Bot، وPureMiner، وأداة تحميل مخصصة لـ XMRig، بالإضافة إلى AsyncRAT، وPulsarRAT، وSilentCryptoMiner.
على الرغم من اختلاف الحمولات، إلا أن جميع الحملات استندت إلى تقنية تغليف متسقة باستخدام Themida، WinLicense، و .NET Reactor. كما تشابهت البنية التحتية لمركز القيادة والتحكم (C2)، مما يشير بقوة إلى مشغل واحد مسؤول عن ذلك.
حملات التعدين الاحتيالية وتعدينبيتكوين
إلى جانب تعدين العملات المشفرة، يحقق المهاجم أيضاً أرباحاً من خلال الاحتيال في تكلفة الإجراء (CPA). حيث يعيد توجيه المستخدمين إلى صفحات تسجيل وهمية تدفعهم لإكمال استبيانات عبر الإنترنت أو الاشتراك في خدمات، مما يمنح المهاجم عمولة صغيرة عن كل إتمام.
من خلال الجمع بين الاحتيال في CPA وتعدين عملة المونيرو، تمكن المشغل من جمع أكثر من 27.88 XMR، وهو ما يعادل حوالي 9,392 دولار أمريكي، عبر أربع محافظ تم تتبعها وقت كتابة التقرير. هذه الأرباح تستمر في الظهور مع استمرار الحملة.
ما يجعل هذه الحملة مقلقة بشكل خاص هو قدرتها على الاستمرار لفترة طويلة. على مدار أكثر من عامين، قام