الإمارات العربية المتحدة – كشفت تقارير أمنية حديثة عن حملة احتيال منظمة تستهدف مستخدمي منصات التداول عبر الإنترنت، حيث يقوم مجرمو السيبراني باستغلال منصة Reddit لبث برامج خبيثة تستهدف أنظمة ويندوز وماك. تتركز هذه الحملة على خداع المستخدمين من خلال تقديم عروض وهمية للحصول على اشتراكات مدفوعة لمزايا منصات تداول شهيرة.
تستغل هذه الحملة رغبة المتداولين والمستثمرين في الحصول على ميزات متقدمة دون دفع الرسوم المقررة، وذلك عبر نشر منشورات زائفة تعد بتقديم وصول مجاني لميزات مدفوعة. تظهر هذه المنشورات بشكل متكرر في مجتمعات متخصصة على Reddit، وتبدو وكأنها تقدم حلولاً حقيقية لمشكلة الرسوم.
حملة احتيال منظمة على Reddit تستهدف مستخدمي منصات التداول
يعمل المهاجمون على هذه المنصة باتباع أساليب احترافية، حيث يقومون بتغيير عناوين المواقع المستخدمة لاستضافة الملفات الخبيثة فور اكتشافها، وحذف التعليقات التي تحذر المستخدمين بسرعة. كما أن طبيعة المحتوى المنشور غالباً ما توحي بأنه تم إنشاؤه بواسطة الذكاء الاصطناعي، للحفاظ على نبرة متسقة وتجنب الشكوك.
وتشير التحليلات إلى استخدام حسابات قديمة على Reddit، أو حسابات تم الاستيلاء عليها، وذلك لإضفاء مصداقية زائفة على المنشورات. تظهر هذه الحسابات أحياناً بشارات قديمة مثل “نادي الأربع سنوات” على Reddit، بينما لا يكون لديها أي نشاط منشور باستثناء هذه الحملات الاحتيالية.
أساليب استدراج المستخدمين
تتبع كل منشورات الحملة نمطاً واحداً، حيث يدعي المهاجمون أن البرنامج المعروض قد تم هندسته عكسياً وإزالة جميع فحوصات الترخيص منه. ويتم تقديم روابط تحميل منفصلة لأنظمة ويندوز، وماك، وحتى إصدارات محددة من نظام ماك، مما يدل على فهم للمتطلبات التقنية الآمنة.
الهدف الأساسي هو سرقة البيانات الحساسة، بما في ذلك بيانات الاعتماد، وملفات تعريف الارتباط، ومحافظ العملات المشفرة. تعمل البرامج الخبيثة مثل Vidar على ويندوز وAMOS على ماك على استخراج هذه المعلومات وإرسالها إلى المهاجمين بسرعة.
آلية الإصابة والبرامج الضارة
يتم استضافة البرامج الضارة على مواقع ويب مملوكة لشركات حقيقية تم اختراقها، مما يمنح روابط التحميل مصداقية إضافية. بالنسبة لنظام ويندوز، يتم تضخيم حجم الملف التنفيذي بشكل كبير باستخدام تقنيات لتجاوز برامج مكافحة الفيروسات.
يحتوي الملف على برنامج صغير ذاتي الاستخراج يقوم بإنشاء ملف نصي مشفر، يعاد تجميعه لاحقاً ليصبح برنامج Vidar لسore المعلومات. يتم توفير كلمة المرور للأرشيف مباشرة في منشور Reddit، وغالباً ما تكون كلمات مثل “github” أو “codeberg”، لتبدو أنها مرتبطة بمنصات تطوير شرعية.
أما على نظام ماك، فإن عملية التحميل تكون على شكل قرص صورة يعرض شعار TradingView لخداع المستخدم. يحتوي هذا القرص على ملف تنفيذي يقوم بفك تشفير برنامج AMOS لسore المعلومات في وقت التشغيل. يقوم AMOS بجمع بيانات الاعتماد وملفات تعريف الارتباط من المتصفحات المختلفة، بالإضافة إلى نسخ ملفات المحافظ الرقمية.
يوصي خبراء الأمن الرقمي المنظمات بتحديث قوائم الحظر الخاصة بها على الخوادم وحلول DNS، والبحث عن أنماط تنزيلات كبيرة لملفات ZIP تتبع تصفحاً لـ Reddit من مصادر غير موثوقة. ويجب النظر في أي شك بحدوث تعرض على أنه اختراق مؤكد، مع اتخاذ إجراءات فورية لحماية بيانات الاعتماد والمحافظ الرقمية.