كاسبرسكي تكشف عن حملة “ساتاكوم” تضيف امتداداً للمتصفح لسرقة العملات المشفرة

اكتشفت كاسبرسكي مؤخراً أنه يتم استخدام امتداد خبيث لثلاثة من المتصفحات، وهي: Chrome و Brave و Opera لسرقة العملات المشفرة من الضحايا ضمن حملة “ساتاكوم” Satacom. وتعرض ما يقرب من 30 ألف مستخدم لخطر الاستهداف خلال الشهرين الماضيين. ونفذ المهاجمون مجموعة من الإجراءات الخبيثة لضمان بقاء الامتداد خفياً وغير مكتشف، في الوقت الذي يبقى فيه المستخدم يتصفح مواقع تبادل العملات المشفرة المستهدفة بطمأنينة، بما في ذلك Coinbase و Binance. ويتيح الامتداد لجهات التهديد إخفاء أي إشعارات معاملات يتم إرسالها إلى الضحية من قبل هذه المواقع، لسرقة عملاتهم المشفرة. ويمكن الاطلاع على تقرير مفصل عن هذه الحملة على Securelist.

وترتبط الحملة الأخيرة بـ Satacom downloader، وهي مجموعة برامج خبيثة سيئة السمعة ونشطة منذ العام 2019، ويتم نشرها بشكل أساسي عبر الإعلانات الخبيثة التي يتم نشرها على المواقع الإلكترونية التابعة لجهات خارجية. وتعمل الروابط أو الإعلانات الخبيثة على إعادة توجيه المستخدمين إلى خدمات مشاركة الملفات المزيفة والصفحات الخبيثة الأخرى التي تعرض تنزيل أرشيف يحتوي على برنامج Satacom Downloader. وفي حالة هذه الحملة الأخيرة، يقوم المستخدم بتنزيل امتداد المتصفح الخبيث.

أحدث حملة تقوم بتثبيت ملحق للمتصفح لسرقة العملات المشفرة وإخفاء نشاطها
يتمثل الهدف الأساسي للحملة في سرقة عملة البيتكوين من حسابات الضحايا، حيث يتم ذلك عن طريق إجراء عمليات حقن إلكترونية لمواقع العملات المشفرة المستهدفة. ومع ذلك، يمكن تعديل البرامج الخبيثة بسهولة لاستهداف العملات المشفرة الأخرى. وتسعى هذه البرامج لتحقيق هدفها من خلال تثبيت امتداد للمتصفحات القائمة على Chromium، ومنها على سبيل المثل Chrome و Brave و Opera، ومن ثم استهداف المستخدمين من الأفراد الذين يمتلكون عملات مشفرة في جميع أنحاء العالم. وتبيّن من خلال قراءات كاسبرسكي تعرّض ما يقرب من 30 ألف شخص لخطر الاستهداف من الحملة خلال شهري أبريل ومايو،. وضمت قائمة الدول الأكثر تضرراً من هذا التهديد خلال الشهرين الماضيين، كلاً من البرازيل والمكسيك والجزائر وتركيا والهند وفيتنام وإندونيسيا.

الدولة عدد المستخدمين المتأثرين
البرازيل 3996
المكسيك 2056
الجزائر 1790
تركيا 1418
الهند 1127
فيتنام 1010
إندونيسيا 1003

ترتيب الدول من حيث عدد المستخدمين المتأثرين بالهجمات خلال أبريل ومايو 2023
ويعمل الامتداد الخبيث على معالجة المتصفح في أثناء قيام الشخص بتصفح مواقع تبادل العملات المشفرة المستهدفة. وتستهدف الحملة مستخدمي منصات Coinbase و Bybit و Kucoin و Huobi و Binance. وإلى جانب سرقة العملة المشفرة، يقوم الامتداد بإجراءات إضافية لإخفاء نشاطه الأساسي، ومنها على سبيل المثال إخفاء الرسائل التأكيد الإلكتروني للمعاملات، وتعديل سلاسل البريد الإلكتروني الحالية من مواقع العملات المشفرة لإنشاء سلاسل رسائل وهمية تحاكي الحقيقية إلى حد بعيد.

نموذج البريد الإلكتروني الوهمي
ولا تحتاج الجهات القائمة على التهديد في هذه الحملة إلى إيجاد طرق للتسلل إلى متاجر الامتدادات الرسمية، بسبب استخدامها لبرنامج Satacom downloader للقيام بالعملية. وتبدأ الإصابة الأولية باستخدام ملف أرشيف مضغوط يتم تحميله من موقع إلكتروني يبدو أنه يحاكي بوابات البرامج، ويتيح ذلك للمستخدم بتحميل البرنامج المطلوب (غالباً ما يكون مخترقاً). وفي العادة، تقوم حملة Satacom بتحميل العديد من الثنائيات على جهاز الضحية. ولاحظ باحثو كاسبرسكي هذه المرة وجود نص برمجي من PowerShell تتمثل مهمته في تثبيت امتداد لأحد المتصفحات الخبيثة.

وبعد ذلك، توجد هناك سلسلة من الإجراءات الخبيثة التي تتيح للامتداد ذاته بالعمل بطريقة مخفية في أثناء تصفح المستخدم لشبكة الإنترنت. ونتيجة لذلك، يصبح المهاجمون قادرين على نقل عملات البتكوين من محفظة الضحية إلى محفظتهم، حيث يتم ذلك عن طريق استخدام آليات الحقن الشبكية.

ويقول حاييم زيغيل، محلل البرمجيات الخبيثة في كاسبرسكي: “لقد تمكن المجرمون السيبرانيون من تعزيز الامتدادات من خلال اكتساب المزيد من القدرة على التحكم فيها، وذلك عن طريق إجراء تغييرات على البرنامج النصي. وهذا يعني أنه يمكنهم بسهولة البدء في استهداف العملات المشفرة الأخرى. وبما أن الامتداد يعتمد على المتصفح في المقام الأول، يمكنه استهداف أنظمة Windows و Linux و macOS. وكإجراء احترازي، فإننا ننصح المستخدمين بضرورة فحص حساباتهم على الإنترنت بانتظام للبحث عن أي نشاط مشبوه، واستخدام حلول أمنية موثوقة لحماية أنفسهم من مثل هذه التهديدات”.

ويمكن الاطلاع على التحليل الفني المفصل للبرامج الخبيثة من خلال Securelist.
ولزيادة فوائد استخدام العملات المشفرة بطرق آمنة، يوصي خبراء كاسبرسكي أيضاً باتباع الخطوات التالية:
⦁ الحذر من عمليات التصيد الاحتيالي: غالباً ما يستخدم المحتالون رسائل البريد الإلكتروني المخادعة أو مواقع الويب المزيفة لخداع الأشخاص للكشف عن بيانات اعتماد تسجيل الدخول أو المفاتيح الخاصة. لذا .. ينصح دائماً بالتحقق من عنوان URL الخاص بالموقع، وعدم النقر على أي روابط مشبوهة.
⦁ تجنب مشاركة مفاتيحك الخاصة: تستخدم مفاتيحك الخاصة لفتح محفظة العملة المشفرة الخاصة بك. لذا .. يتعين عليك حفظ خصوصيتها وعدم مشاركتها مع أي شخص.
⦁ الحرص على الثقافة الذاتية: ننصحك بالاطلاع الدائم على أحدث التهديدات السيبرانية وأفضل الممارسات للحفاظ على أمن وسلامة عملاتك المشفرة. وكلما عرفت المزيد عن الطرق التي تساعدك على حماية نفسك، ستكون على استعداد أفضل لمنع الهجمات الإلكترونية.
⦁ البحث قبل الاستثمار: قبل اتخاذ قرار الاستثمار في أي عملة مشفرة، ننصحك بإجراء البحث عن المشروع وفريقه بدقة، كما ينبغي التحقق من الموقع الإلكتروني للمشروع والورقة البيضاء وقنوات التواصل الاجتماعي للتأكد من شرعية المشروع.
⦁ استخدام الحلول الأمنية: يساعدك الحل الأمني الموثوق به في حماية أجهزتك من أنواع مختلفة من التهديدات. ومن هذه الحلول Kaspersky Premium الذي يحميك من جميع عمليات الاحتيال المعروفة وغير المعروفة المتعلقة بالعملات المشفرة، إضافة إلى الاستخدام غير المصرح به لقدرة معالجة جهاز الكمبيوتر الخاص بك لتعدين العملات المشفرة.