مستخدمو كاردانو مستهدفون من قبل احتيال التصيد الاحتيالي الذي يوزع برامج ضارة للمحفظة

يحذر حاملو كاردانو من تصاعد التهديدات الأمنية مع إطلاق مجرمي الإنترنت حملة احتيال تصيد متطورة تنصب على محفظة Eternl Desktop. تجمع الخطة بين رسائل بريد إلكتروني ذات مظهر احترافي، وحوافز عملات مشفرة احتيالية، وبرامج خبيثة مخفية لاختراق أنظمة المستخدمين. كشف باحثو الأمن أن الضحايا الذين يقومون بتنزيل المحفظة المزيفة يتلقون مثبتًا خبيثًا يحتوي على أحصنة طروادة للوصول عن بُعد، مما يمنح المهاجمين السيطرة الكاملة على النظام دون إذن.

كيف تعمل حملة الاحتيال التصيدي

تبدأ الهجمة برسائل بريد إلكتروني مقنعة تنتحل صفة اتصالات رسمية من Eternl Desktop. يدعي المهاجمون تقديم ميزات جديدة مثل دعم تحسينات في تجزئة كاردانو ودمج الحوكمة. تبرز الرسائل الاحتيالية حوافز جذابة تشمل مكافآت رموز NIGHT و ATMA، مما يخلق شعورًا بالإلحاح ويشجع المستخدمين على تنزيل “المحفظة المحدثة” على الفور.

توجه الرسائل المستخدمين إلى تحميل(dot)eternldesktop(dot)network، وهو نطاق مسجل حديثًا يحاكي الموقع الرسمي لـ Eternl. وفقًا للباحث في التهديدات أنوراغ، قام المهاجمون بنسخ اللغة وعناصر التصميم بدقة من إعلانات Eternl الأصلية، وأضافوا ميزات خيالية مثل إدارة المفاتيح المحلية وتوافق مع المحافظ المادية. تظهر حملة الاحتيال التصيدي تنفيذًا احترافيًا — فالبريد الإلكتروني خالٍ من أخطاء إملائية ويستخدم مصطلحات رسمية، مما يجعل الاحتيال يبدو موثوقًا للمستخدمين غير الحذرين.

كل رسالة تتضمن رابط تحميل لملف مثبت MSI مخترق. يتجاوز الملف آليات التحقق الأمني القياسية ويفتقر إلى توقيعات رقمية صالحة تشير إلى شرعيته. عند تنفيذ المستخدمين للمثبت، ينشطون عن غير قصد الحمولة الخبيثة المدمجة بداخله.

المثبت الخبيث يسلّم حصان طروادة للوصول عن بُعد

الملف المثبت، المسمى Eternl.msi (هاش الملف: 8fa4844e40669c1cb417d7cf923bf3e0)، يدمج أداة خطيرة تسمى LogMeIn Resolve. عند التشغيل، ينشر الملف التنفيذي باسم unattended updater.exe، والذي هو في الواقع مكون GoToResolveUnattendedUpdater.exe.

يؤسس هذا الملف التنفيذي استمرارية على جهاز الضحية من خلال إنشاء مجلدات داخل Program Files وكتابة عدة ملفات تكوين، بما في ذلك unattended.json و pc.json. ملف unattended.json خطير بشكل خاص — فهو ينشط قدرات الوصول عن بُعد بصمت دون علم أو موافقة المستخدم. بمجرد تفعيله، يصبح النظام المصاب قابلًا للتحكم الكامل من قبل المهاجمين.

تحليل حركة الشبكة يؤكد أن البرمجية الخبيثة تتواصل مع بنية تحكم وسيطرة معروفة لـ GoToResolve، وتحديدًا الأجهزة-iot.console.gotoresolve.com و dumpster.console.gotoresolve.com. ترسل البرمجية معلومات النظام بصيغة JSON وتؤسس اتصالات مستمرة، مما يسمح للتهديدات بإصدار أوامر عن بُعد. لا يدرك الضحايا أن نظامهم قد تم اختراقه إلا عندما يستغل المهاجمون الوصول.

مقارنة مع مخططات الاحتيال التصيدي السابقة من Meta

يتبع هجوم محفظة كاردانو نفس النهج المستخدم في حملات التصيد السابقة التي استهدفت مستخدمي أعمال Meta. في تلك الحملة، تلقى الضحايا رسائل بريد إلكتروني تدعي أن حسابات إعلاناتهم انتهكت لوائح الاتحاد الأوروبي. استخدمت الرسائل شعار Meta ولغة رسمية لإضفاء مصداقية زائفة.

أعاد الرابط المستخدم توجيه المستخدمين إلى صفحة مزيفة لمدير أعمال Meta تعرض تحذيرات عاجلة حول تعليق الحساب. طُلب من المستخدمين إدخال بيانات تسجيل الدخول “لإعادة” الوصول. ثم أُرشد الضحايا عبر دردشة دعم وهمية، والتي كانت في الواقع تجمع معلومات المصادقة الخاصة بهم.

الهيكلية الموازية — الإلحاح، الانتحال، صفحات الهبوط المزيفة، وجمع بيانات الاعتماد — تكشف كيف يعيد المهاجمون استخدام تكتيكات الهندسة الاجتماعية الفعالة عبر جماهير مستهدفة مختلفة. سواء استهدفوا مستخدمي العملات المشفرة أو مديري الأعمال، تظل منهجية الاحتيال التصيدي ثابتة: إضفاء شرعية زائفة، خلق ضغط، واستغلال ثقة المستخدم.

حماية ضد هجمات انتحال المحافظ

ينصح خبراء الأمن ومطورو المحافظ المستخدمين باتباع ممارسات دفاعية ضد الاحتيال التصيدي. دائمًا قم بتنزيل برامج المحافظ حصريًا من مواقع المشاريع الرسمية أو متاجر التطبيقات الموثوقة. تشكل النطاقات المسجلة حديثًا مخاطر عالية — تحقق من عمر النطاق وتفاصيل شهادة SSL قبل الوثوق بموقع إلكتروني.

كن متشككًا من الرسائل غير المرغوب فيها التي تروّج لتحديثات المحافظ أو تعرض مكافآت رموز غير متوقعة. نادرًا ما توزع مشاريع المحافظ الشرعية البرامج عبر حملات التصيد، وتظهر التحديثات الأصلية عبر قنوات معتمدة. فحص عناوين مرسلي البريد الإلكتروني بعناية، حيث أن العناوين المزورة قد تحتوي على استبدالات دقيقة في الأحرف.

قم بتمكين المصادقة الثنائية على حسابات تبادل العملات المشفرة وحسابات البريد الإلكتروني المهمة المرتبطة بالمحافظ. يضيف هذا طبقة حماية إضافية تمنع الوصول غير المصرح به حتى لو تم اختراق بيانات الاعتماد. حافظ على تحديث برامج مكافحة الفيروسات والبرامج الخبيثة لاكتشاف أحصنة طروادة المعروفة مثل متغيرات LogMeIn Resolve.

وأخيرًا، إذا قمت بتنزيل أي تطبيقات محفظة مشبوهة، افصل الأجهزة المتأثرة عن الشبكة فورًا وقم بإجراء فحوصات شاملة للبرامج الضارة. أبلغ فريق أمن المشروع الشرعي عن رسائل البريد الإلكتروني المشبوهة التي تتعلق بالاحتيال التصيدي. من خلال اليقظة المستمرة والتحقق من الشرعية في كل خطوة، يمكن لمستخدمي كاردانو تقليل تعرضهم لهذه التهديدات المتطورة بشكل كبير.