- استغل المهاجمون نطاقات منتهية الصلاحية لاختراق حسابات الناشرين على متجر سناب، ونشروا تحديثات خبيثة للمحفظة.
- انتحلت التطبيقات المزيفة صفة تطبيقات Exodus وLedger Live وTrust Wallet لخداع المستخدمين وحملهم على إدخال عبارات الاسترداد.
- يشير هذا الهجوم إلى تزايد التوجه نحو هجمات سلسلة التوريد بدلاً من هجمات العقود الذكية.
حذرت شركة SlowMist المتخصصة في أمن تقنية البلوك تشين من تهديد جديد يستهدف نظام لينكس، ويستهدف عبارات استعادة العملات الرقمية عبر استغلال تطبيقات موثوقة موزعة على متجر Snap Store. وأوضحت الشركة أن المهاجمين يستولون على حسابات ناشري Snap Store القديمة، وينشرون تحديثات خبيثة للمحافظ الرقمية عبر قنوات التوزيع الرسمية، مما يعرض مستخدمي لينكس القدامى للخطر.
وفي منشور على منصة X، ذكر 23pds، كبير مسؤولي أمن المعلومات في SlowMist، أن المهاجمين يستغلون نطاقات منتهية الصلاحية مرتبطة بناشري Snap Store الشرعيين. وبعد استعادة السيطرة على هذه النطاقات، يعيد المهاجمون تعيين بيانات اعتماد الحسابات، ويستولون على حسابات المطورين الموثوقة، وينشرون برامج خبيثة متنكرة في هيئة تحديثات لبرامج المحافظ الرقمية. وتمنح هذه الحيلة الهجوم ميزة خطيرة، إذ غالبًا ما يثق المستخدمون بتحديثات الناشرين المعروفين ويثبتونها دون شك.
وبمجرد وصول التطبيقات الخبيثة إلى جهاز الضحية، تطلب منه إدخال عبارات استعادة محافظ العملات الرقمية. ثم تقوم البرامج الخبيثة باستخراج هذه العبارات، مما يسمح للمهاجمين بسحب الأموال من المحافظ بسرعة، غالبًا قبل أن يدرك الضحية وجود أي مشكلة.
يستغل المهاجمون النطاقات المنتهية الصلاحية لاختراق حسابات ناشري متجر سناب.
متجر سناب هو المتجر الرسمي لتطبيقات لينكس، ويُستخدم لتوزيع البرامج المُغلّفة على شكل “حزم سناب”. يُعتبر مصدرًا موثوقًا به لدى العديد من المستخدمين، تمامًا مثل متجر التطبيقات أو متجر مايكروسوفت، لما يوفره من ناشرين مُوثّقين، وتحديثات سهلة، وتوزيع مركزي.
أفادت شركة SlowMist أن المهاجمين يستهدفون حسابات الناشرين المرتبطة بنطاقات منتهية الصلاحية. بمجرد انتهاء صلاحية النطاق، يُمكن للمجرمين إعادة تسجيله والوصول إلى عناوين البريد الإلكتروني المرتبطة به. ومن ثم، يُمكنهم إعادة تعيين كلمات المرور والسيطرة على حسابات مطوري متجر سناب.
تُمكّن هذه الطريقة المهاجمين من اختراق حسابات الناشرين الذين يمتلكون مستخدمين نشطين وسجلات تنزيل سابقة. فبدلاً من الاعتماد على الضحايا لتنزيل التطبيقات الجديدة الخبيثة، يقومون بحقن البرمجيات الخبيثة في التحديثات الدورية. تزيد هذه الحيلة في سلسلة التوريد من معدل نجاحهم لأن المستخدمين أكثر ميلاً لقبول التحديثات دون التحقق من جميع التغييرات.
وقد حددت شركة SlowMist نطاقين على الأقل مرتبطين بحسابات الناشرين المخترقة: “storewise[.]tech” و”vagueentertainment[.]com”. وبمجرد سيطرة المهاجمين على الحسابات، يُزعم أنهم استخدموا التطبيقات لانتحال صفة علامات تجارية شهيرة لمحافظ العملات الرقمية.
تطبيقات محافظ مزيفة تُقلّد علامات تجارية موثوقة
بحسب شركة SlowMist، فإن تطبيقات متجر Snap Store المتأثرة هي نسخ مُقلّدة من تطبيقات محافظ شهيرة مثل Exodus وLedger Live وTrust Wallet. يستخدم المهاجمون واجهات مستخدم تُحاكي التطبيقات الأصلية بدقة، مما يُعزز مصداقيتها ويُقلل الشكوك حولها.
بعد تثبيت هذه التطبيقات أو تحديثها، تطلب من المستخدم إدخال عبارة استعادة المحفظة بهدف إعدادها أو مزامنتها أو التحقق من الحساب. بعد إدخال المستخدم لعبارة الاستعادة، يستطيع المهاجم استخدامها لاستعادة المحفظة وسحب أموالها دون الحاجة إلى أي وصول إضافي إلى جهاز الضحية.
لا تزال هذه الطريقة فعّالة للغاية لأن عبارات الاستعادة تُتيح تحكمًا كاملًا في الأصول. حتى أقوى كلمات المرور وأعلى مستويات أمان الجهاز لا تُجدي نفعًا في حماية الأموال بمجرد حصول المخترقين على عبارة الاستعادة.
ما الذي يجب على المستخدمين مراقبته لاحقًا؟
بالنسبة لمستخدمي لينكس الذين يحتفظون بالعملات الرقمية، يجب توخي الحذر الشديد عند تنزيل وتحديث برامج المحافظ. ينبغي على المستخدمين التحقق من هوية الناشرين، والتأكد من مصادر التنزيل الرسمية، وتجنب إدخال عبارات الاسترداد على منصات غير مألوفة. قد تحتاج فرق الأمن أيضًا إلى مراقبة قوائم متجر سناب عن كثب، خاصةً عند حدوث تغييرات مفاجئة في ملكية الناشرين.
الخلاصة من تنبيه سلو ميست واضحة: الخطر الأكبر غالبًا ما يأتي من مصادر موثوقة، وليس من عمليات الاحتيال الإلكتروني الواضحة.
Be First to Comment