كشف باحثون أمنيون عن حملة تجسس وخداع تستهدف المتداولين عبر الإنترنت، حيث قام مجرمو الإنترنت بإنشاء موقع ويب وهمي ينتحل صفة منصة TradingView الشهيرة، بهدف توزيع برمجيات خبيثة مصممة لسرقة البيانات. يتم إغراء المستخدمين بتنزيل “مساعد تداول يعتمد على الذكاء الاصطناعي” والذي في الواقع يقوم بتثبيت برمجية تجسس تعرف باسم “Needle Stealer”.
تم بناء حملة الاحتيال هذه على استغلال ثقة المستخدمين في منصاتهم المفضلة. يبدو الموقع المزيف، الذي يعمل تحت اسم نطاق “tradingclaw[.]pro”، مشابهاً جداً للمنتجات الشرعية، ويستغل الاهتمام المتزايد بتطبيقات التداول المدعومة بالذكاء الاصطناعي. يكمن الخطر في أن المستخدمين يعتقدون أنهم يقومون بتنزيل أداة مفيدة، بينما يقومون بتثبيت برمجيات ضارة.
حملة برمجيات خبيثة تستهدف المتداولين عبر TradingView وهمي
وفقاً لتقرير صادر عن باحثي Malwarebytes، تم رصد هذه الحملة خلال عمليات البحث الروتينية عن التهديدات. تشير التحقيقات إلى أن القائمين على الهجوم يستخدمون إطار عمل برمجيات خبيثة معروف سابقاً، ولكنهم قاموا بتغيير الحمولة النهائية إلى “Needle Stealer”، مما يدل على تطور تكتيكاتهم.
تسمح هذه الاستراتيجية المعيارية للمهاجمين بتكرار عملياتهم بسهولة أكبر وإخفاء هويتهم. قد تتعرف فرق الأمن على آلية التحميل، لكنها قد لا تدرك وجود البرمجية الخبيثة الجديدة التي يتم توزيعها من خلالها.
تأثير أداة Needle Stealer على المستخدمين
تمثل هذه البرمجية الخبيثة تهديداً خطيراً للأفراد النشطين في الأسواق المالية وتداول العملات المشفرة. صُممت “Needle Stealer” لجمع معلومات حساسة مثل ملفات تعريف الارتباط للمتصفح، وكلمات المرور المحفوظة، وجلسات تسجيل الدخول، وبيانات محافظ العملات المشفرة من الأجهزة المصابة.
بالإضافة إلى ذلك، تقوم البرمجية بتثبيت إضافات متصفح خبيثة تمنح المهاجمين تحكماً مستمراً في المستعرض الذي يستخدمه الضحية. يمكن أن تكون الخسائر المالية وخيمة، حيث تستهدف البرمجية بشكل خاص تفريغ محافظ العملات المشفرة واعتراض أنشطة الحسابات على مختلف المنصات.
من جهة أخرى، تستعمل صفحة الاحتيال تقنية تصفية متقدمة لتجنب الكشف. عند زيارتها من قبل محركات البحث أو أدوات الفحص الأمني، تعيد الصفحة توجيه الزائر إلى موقع غير ضار. يتم عرض المحتوى الخبيث فقط للمستخدمين الذين يبدو أنهم يطابقون ملف تعريف الضحية المستهدفة، مما يساعد الحملة على البقاء نشطة لفترة أطول.
آلية عمل الإصابة والإجراءات الوقائية
تبدأ عملية الإصابة عند قيام المستخدم بتنزيل ملف مضغوط من موقع TradingView الوهمي. يحتوي هذا الملف على المرحلة الأولى من سلسلة العدوى، والتي تستخدم تقنية “اختطاف DLL” (DLL Hijacking). يتم إخفاء البرمجية الخبيثة كملف مكتبة شرعي، وعند تشغيل برنامج ويندوز موثوق به، يقوم بتحميل المكتبة المزيفة بدلاً من الأصلية.
في هذه الحملة تحديداً، يتم استغلال عملية RegAsm.exe، وهي مكون شرعي لـ .NET Framework. تقوم البرمجية الخبيثة غير المصرح بها هذه بتنفيذ عملية “hollowing” لحقن “Needle Stealer” مباشرة في عملية RegAsm.exe. يساعد هذا التخفي داخل عملية نظام موثوقة في إفلات النشاط الخبيث من أدوات الكشف الأمني.
تتكون “Needle Stealer” نفسها من عدة وحدات، مما يسمح للمهاجمين بتخصيص ما يريدون سرقته. يمكنها التقاط لقطات شاشة، وسرقة بيانات المتصفح، واستخراج معلومات من تطبيقات مثل Telegram وعملاء FTP، بالإضافة إلى جمع بيانات المحافظ والملفات النصية. كما تقوم وحدة إضافية بتثبيت ملحق متصفح خبيث يتصل بخادم عن بعد ويقوم بتتبع المستخدم.
ينصح الخبراء المستخدمين الذين يتاجرون عبر الإنترنت أو يديرون أصولاً مشفرة بتجنب تنزيل أي أدوات من مصادر غير رسمية، بغض النظر عن مدى إقناع الموقع. يجب دائماً التحقق من البرامج عبر قنوات المطورين الرسمية، والتأكد من تحديث أدوات الأمان على الأجهزة، والتعامل بحذر مع أي منصات تدعي تقديم قدرات تداول متقدمة بالذكاء الاصطناعي دون سجل حافل بالموثوقية.