يشهد عالم الأمن السيبراني تحولًا كبيرًا في أساليب عمل الجهات التهديدية، حيث تبتعد الهجمات عن الوسائل التقليدية مثل رسائل البريد الإلكتروني التصيدية وتنتهج استراتيجيات “داخلية” جديدة تركز على قطاع Web3 والعملات المشفرة.
تعتمد هذه الاستراتيجية المبتكرة على إنشاء فخاخ متطورة تستهدف جذب أصحاب المصلحة ذوي القيمة العالية للانخراط طواعية. يتكشف هذا التهديد الجديد بشكل خاص من خلال حملات هندسة اجتماعية خبيثة تستغل فرص العمل الوهمية.
حملات الهندسة الاجتماعية تستهدف مطوري Web3 عبر برامج مقابلات وهمية
تعتمد هذه الحملات بشكل أساسي على نهج نفسي ذكي. يقوم المهاجمون بإنشاء شركات وهمية مقنعة أو يقلدون شركات Web3 شرعية، ثم ينشرون إعلانات وظائف لمناصب جذابة عبر منصات مثل youbuidl.dev.
هذه الطريقة تقلل من دفاعات الضحية لأن الباحثين عن عمل يعتقدون أنهم هم من يبادرون بالاتصال. وبالتالي، لا يتوقعون وجود خطر قادم من فرصة يسعون إليها بنشاط.
الهدف الحقيقي هنا هو الشخص خلف الشاشة، والذي غالبًا ما يكون لديه محافظ عملات مشفرة شخصية مثبتة على جهازه. من اللافت للنظر أن العديد من الضحايا يتقدمون لهذه الوظائف الوهمية باستخدام أجهزة الكمبيوتر المحمولة الخاصة بشركاتهم.
يمنح هذا الأمر المهاجمين مسارًا مباشرًا للدخول إلى المؤسسات المالية الكبرى، مما يزيد من خطورة هذه الهجمات.
آلية عمل البرمجيات الخبيثة
قام الباحث “آريس هاريانتو” بتحديد وتوثيق هذا التهديد الناشئ بعد اكتشاف الآليات التقنية لكيفية عمل البرمجيات الخبيثة ضمن حملات التوظيف هذه. كشفت تحليلاته أن الهجوم يتبع سير عمل مقابلة عمل عادي للحفاظ على المصداقية طوال العملية.
يبدأ التنفيذ عندما يتلقى المرشحون دعوة مقابلة تبدو احترافية من نطاقات احتيالية مثل collaborex.ai. خلال مرحلة المقابلة المرئية، يُطلب من الضحايا تنزيل ما يبدو أنه تطبيق اجتماع شرعي.
الملف الخبيث، المسمى collaborex_setup.msi، يتم تنزيله وتنفيذه على نظام الضحية. بمجرد التشغيل، يقوم المثبت بإنشاء اتصال قيادة وتحكم (Command and Control) خفي بخادم المهاجم بصمت في الخلفية.
الاتصال القيادة والتحكم واستخراج البيانات
يُمثل اتصال البرمجية الخبيثة بخادم القيادة والتحكم بداية اختراق كامل للنظام. عندما يتم تشغيل ملف collaborex_setup.msi، فإنه ينشئ قناة اتصال مخفية مع البنية التحتية للمهاجم.
يتيح هذا الاتصال للجهات التهديدية التحكم عن بعد في الكمبيوتر المصاب دون علم المستخدم. يمكن للمهاجمين بعد ذلك استخراج معلومات حساسة مثل مفاتيح العملات المشفرة الخاصة، وبيانات اعتماد المحافظ، وبيانات الشركة.
بالنسبة للمطورين العاملين في بورصات العملات المشفرة أو بروتوكولات التمويل اللامركزي (DeFi)، يعني هذا الوصول سرقة مباشرة للأموال المؤسسية والملكية الفكرية. تعمل البرمجيات الخبيثة بصمت في الخلفية، مما يجعل من الصعب للغاية على حلول مكافحة الفيروسات القياسية اكتشاف النشاط الخبيث.
يمكن للجهات التهديدية الحفاظ على وصول مستمر إلى النظام إلى أجل غير مسمى، مع مراقبة وسرقة البيانات باستمرار حسب الحاجة.
تؤكد هذه التطورات الحاجة الملحة لزيادة الوعي والتدابير الأمنية، خاصة داخل القطاعات الحيوية مثل Web3 والعملات المشفرة، لحماية الأصول الرقمية والبنية التحتية الحساسة.