تكشف حملة خبيثة جديدة عن استغلال منصة Discord لخداع المستخدمين وسرقة عناوين محافظ العملات المشفرة الخاصة بهم، وذلك من خلال برامج خبيثة تتخفى كأدوات مفيدة للاعبين والقائمين على البث المباشر. وتستهدف هذه البرامج المستخدمين عند لصق محافظهم، لتغييرها إلى محافظ خاصة بالمهاجمين.
تعمل البرمجية الخبيثة على مراقبة حافظة النسخ (clipboard) لدى المستخدم، وعند اكتشاف عنوان محفظة عملات مشفرة يتم لصقه، تستبدله فوراً بعنوان محفظة أخرى يخص المهاجم. بهذه الطريقة، يتم تحويل الأموال دون ترك آثار واضحة أو تنبيه المستخدم.
استغلال منصة Discord لسرقة العملات المشفرة
تتركز هذه الحملة الخبيثة بشكل أساسي على خوادم Discord المرتبطة بعالم الألعاب، والمقامرة، والبث المباشر للعملات المشفرة. حيث يقوم المهاجمون بتقديم أنفسهم ك مطورين لأدوات مفيدة، ومن ثم يقومون بتوزيع برامج ضارة مثل Pro.exe أو peeek.exe بشكل خاص على المستخدمين.
يتم إقناع الضحايا بأن هذه الأدوات ستساعدهم في إدارة أو حماية عناوين محافظهم أثناء الجلسات المباشرة، مما يجعلها تبدو بريئة وغير مشبوهة. ومع ذلك، يكمن خلف هذه الواجهة الودودة عملية سرقة منظمة تستطيع تفريغ المعاملات ببراعة.
آلية التوزيع وبناء الثقة
بفضل العمليات الاستخباراتية البشرية التي تقوم بها شركات الأمن السيبراني، تم الكشف عن هذه الممارسات. حيث تم رصد حساب شخصي زائف يدعى “RedLine Solutions” يمارس هذه الأنشطة. وتشير التحليلات إلى أن البرمجية الخبيثة عبارة عن ملف تنفيذي مكتوب بلغة Python، ومغلف باستخدام أداة PyInstaller.
وتختلف هذه البرمجية عن برامج سرقة المعلومات التقليدية، حيث تركز بشكل خاص على التلاعب ببيانات حافظة النسخ المتعلقة بالعملات المشفرة الشهيرة. وهذا التركيز الدقيق يجعلها فعالة للغاية في تحقيق هدفها.
تأثير البرمجية الخبيثة واستراتيجيات الانتشار
يعود التأثير الكبير لهذه الحملة إلى استهداف المستخدمين في اللحظة التي تكون فيها انتباههم في أضعف حالاته. فالكثير من القائمين على البث المباشر والمتداولين بشكل متكرر يقومون بنسخ ولصق سلاسل عناوين المحافظ الطويلة دون التحقق الدقيق من كل حرف. وهذا يفتح الباب أمام المهاجمين.
تعمل هذه البرمجية الخبيثة بدون الحاجة لاتصال بمركز قيادة وتحكم، وتستهلك موارد نظام قليلة، مما يسمح لها بالبقاء نشطة لفترات طويلة. وقد تم رصد معاملات مالية مسروقة بالفعل عبر شبكة البلوك تشين، تشمل عملات مثل البيتكوين، والإيثيريوم، وسولانا، ودوجكوين، ولايتكوين، وترون.
آلية الإصابة وتعديل حافظة النسخ
بمجرد قيام الضحية بتشغيل ملف Pro.exe، تقوم البرمجية الخبيثة بإنشاء مجلد داخل دليل %APPDATA% في نظام ويندوز تحت اسم CryptoClipboardGuard. كما تقوم بتسجيل نفسها في مفتاح التشغيل الخاص بالمستخدم لضمان بدء تشغيلها تلقائيًا مع كل إقلاع للنظام.
يقوم الملف التنفيذي بتضمين بيئة تشغيل Python الخاصة به وترميز برمجي مشفر، مما يتيح له العمل حتى على الأنظمة التي لا تحتوي على Python مثبتة. ومن ثم، تبدأ البرمجية حلقة مراقبة لصيقة لحافظة النسخ، تتم بمعدل ثلاث مرات في الثانية تقريبًا.
الكشف والاستبدال الآني
في كل مرة يتغير فيها محتوى حافظة النسخ، تقوم البرمجية بفحصها مقابل تعبيرات نمطية مشفرة بصيغة base64، والتي تتوافق مع تنسيقات عناوين محافظ العملات المشفرة الرئيسية. إذا تم اكتشاف عنوان صالح، يتم فوراً استبداله بعنوان محفظة المهاجم المخصص لهذا النوع من العملات، مع تسجيل عملية الاستبدال هذه في ملف activity.log.
ونظرًا لأن تغيير العنوان يتم بين عملية النسخ واللصق، فإن معظم الضحايا لا يلاحظون هذا الاستبدال إلا بعد وصول أموالهم إلى المحفظة الخاطئة. بل وبعد فوات الأوان، حيث يكون التحويل غير قابل للإلغاء.
تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، وجعل CSN المصدر المفضل لديكم في Google.