أخبار العملات الرقمية إصابة المتداولين ببرمجيات خبيثة على موقع ريديت عبر منصة التداول المزيفة

في آخر أخبار العملات الرقمية، يتم استهداف متداولي العملات الرقمية في حملة برمجيات خبيثة تنتشر عبر موقع Reddit، وفقًا لتحذير جديد من شركة Malwarebytes للأمن السيبراني.

يوزع الهجوم إصدارات خبيثة من منصة التداول الشهيرة TradingView. وهو يتألف من متغيرات منفصلة مصممة لاختراق أنظمة ويندوز وماك على حد سواء.

ينشر مشغّلو البرمجيات الخبيثة في مجموعات فرعية لتداول العملات الرقمية على موقع TradingView Premium، حيث يعرضون إصدارات يُفترض أنها “مُخترقة” من TradingView Premium، والتي تدعي أنها توفر وصولاً مجانيًا إلى الميزات المميزة.

وتتضمن هذه المنشورات روابط تنزيل لحزم البرامج المصابة التي تحتوي على برنامج Lumma Stealer لمستخدمي ويندوز و Atomic Stealer (AMOS) لمستخدمي ماك.

هاتان عائلتان قويتان من البرمجيات الخبيثة مصممتان لسرقة البيانات الحساسة مع التركيز بشكل خاص على محافظ العملات الرقمية.

تكتيكات الهندسة الاجتماعية المستخدمة على موقع ريديت

طوّر القراصنة نهج الهندسة الاجتماعية على موقع ريديت، حيث لا يكتفون بإنشاء منشورات أولية يعرضون فيها البرمجيات “المخترقة” فحسب، بل يتفاعلون بنشاط مع الضحايا المحتملين في سلاسل التعليقات.

يتضمن هذا التفاعل ردوداً مطمئنة للمستخدمين الذين يعبرون عن مخاوفهم الأمنية.

في أحد الأمثلة التي شاركتها Malwarebytes، عندما أثير موضوع الأمان، علّق الملصق الأصلي بأن “الفيروس الحقيقي على جهاز ماك سيكون جامحًا”.

المصدر: Malwarebytes

تتم استضافة التنزيلات الخبيثة على موقع إلكتروني. ينتمي الموقع إلى شركة تنظيف في دبي – بدلاً من خدمات مشاركة الملفات الشائعة مثل ميجا.

لاحظ باحثو Malwarebytes أن هذا الاختيار غير المعتاد قد يشير إلى أن المهاجمين قد اخترقوا الموقع أو لديهم سيطرة مباشرة عليه.

يتيح لهم ذلك “تحميل وتحديث التعليمات البرمجية الخاصة بهم مباشرةً عبر خادم يتحكمون فيه.”

ومن العلامات الحمراء الأخرى التي تم تحديدها في الحملة طريقة توزيع الملفات الخبيثة.

يتم توزيع كل من إصداري ويندوز وماك كأرشيفات مزدوجة الضغط مع حماية بكلمة مرور.

أخبار العملات الرقمية التحليل الفني يكشف عن قدرات قوية في سرقة البيانات

يُظهر تحليل Malwarebytes لكلا متغيري البرمجيات الخبيثة قدرات مصممة خصيصاً لاستهداف مستخدمي العملات الرقمية.

يستخدم إصدار ماك متغيرًا جديدًا من Atomic Stealer (AMOS). يحتوي على ميزات إضافية مضادة للتحليل للتهرب من الاكتشاف ومنع الباحثين الأمنيين من دراسة سلوكه.

وأظهر الفحص الفني آلية استخراج البيانات التي تستخدمها البرمجية الخبيثة لنظام التشغيل Mac، والتي ترسل المعلومات المسروقة عبر طلبات POST إلى خادم بعنوان IP 45.140.13.244 الموجود في سيشيل.

من المحتمل أن يعمل هذا الخادم كنقطة تجميع لبيانات الاعتماد المحصودة، ومعلومات المحفظة، وغيرها من البيانات الحساسة.

تم تصميم متغيرات البرمجيات الخبيثة لسرقة المعلومات الحساسة من حاسوب الضحية. هناك تركيز خاص على بيانات اعتماد محفظة العملات الرقمية والمفاتيح الخاصة وبيانات المصادقة.

وبمجرد استخراج هذه المعلومات، يمكن للمهاجمين استخدامها لتحويل الأموال من مقتنيات الضحية من العملات الرقمية إلى محافظ تحت سيطرتهم.

تدابير الحماية وعلامات التحذير لمستخدمي العملات الرقمية

أعطت Malwarebytes العديد من العلامات التحذيرية الرئيسية التي يجب على متداولي العملات الرقمية الانتباه لها لتجنب الوقوع ضحية لهذه الحملة والحملات الضارة المماثلة.

تؤكد شركة الأمن السيبراني على أن “البرمجيات المخترقة كانت عرضة لاحتوائها على برمجيات خبيثة منذ عقود.

ومع ذلك، من الواضح أن إغراء الغداء المجاني لا يزال جذابًا للغاية” للعديد من المستخدمين.

من أهم العلامات الحمراء هي التعليمات الخاصة بتعطيل برامج الأمان قبل تشغيل البرنامج.

ويحذر الباحثون المستخدمين من “تعطيل برنامج مكافحة الفيروسات الذي يحاول حمايتك”. هذا الطلب دائمًا ما يكون مؤشرًا على نوايا خبيثة.

تمثل المحفوظات المحمية بكلمة مرور علامة تحذير أخرى. يستخدم موزعو البرامج المشروعة أحياناً الحماية بكلمة مرور لأغراض متخصصة.

ومع ذلك، في حملات البرمجيات الخبيثة تُستخدم هذه التقنية في المقام الأول لمنع الماسحات الأمنية من تحليل المحتويات.

تم توزيع كلا الإصدارين المتغيرين من البرمجيات الخبيثة لنظامي ويندوز وماك في هذه الحملة في أرشيفات مزدوجة مضغوطة ومحمية بكلمة مرور خصيصًا لتجاوز أدوات الأمان.