-->
الصفحة الرئيسية

مواقع الويب التي تشبه Telegram و WhatsApp تعمل على توزيع البرامج الضارة لسرقة العملات المشفرة

 


تُستخدم مواقع الويب المقلدة لتطبيقات المراسلة الفورية مثل Telegram و WhatApp لتوزيع إصدارات أحصنة طروادة وإصابة مستخدمي Android و Windows ببرامج ضارة لمقص العملات المشفرة .

قال باحثو ESET Lukáš Štefanko و Peter Strýček في تحليل جديد: "كلهم يسعون وراء أموال الضحايا للعملات المشفرة ، مع العديد من محافظ العملات المشفرة المستهدفة" .

في حين أن أول مثيل للبرامج الضارة clipper على متجر Google Play يعود إلى عام 2019 ، فإن التطوير يمثل المرة الأولى التي يتم فيها دمج البرامج الضارة التي تعمل بنظام Android في تطبيقات المراسلة الفورية.

"علاوة على ذلك ، تستخدم بعض هذه التطبيقات التعرف البصري على الأحرف (OCR) للتعرف على النص من لقطات الشاشة المخزنة على الأجهزة المعرضة للخطر ، وهي سابقة أخرى لبرامج Android الضارة."

تبدأ سلسلة الهجمات بنقر المستخدمين المطمئنين على الإعلانات الاحتيالية على نتائج بحث Google التي تؤدي إلى مئات من قنوات YouTube غير المستقرة ، والتي توجههم بعد ذلك إلى مواقع Telegram و WhatsApp المشابهة.

الجديد في أحدث مجموعة من البرامج الضارة للمقص هو أنها قادرة على اعتراض محادثات الضحية واستبدال عناوين محفظة العملات المشفرة المرسلة والمستلمة بعناوين يتحكم فيها ممثلو التهديد.

تستخدم مجموعة أخرى من البرامج الضارة لـ clipper التعرف الضوئي على الحروف للعثور على العبارات الأولية وسرقتها من خلال الاستفادة من مكون إضافي لتعلم الآلة يسمى ML Kit على Android ، مما يجعل من الممكن تفريغ المحافظ.

تم تصميم مجموعة ثالثة للاحتفاظ بعلامات تبويب على محادثات Telegram لبعض الكلمات الرئيسية الصينية ، سواء كانت مشفرة أو مستلمة من خادم ، ذات صلة بالعملات المشفرة ، وإذا كان الأمر كذلك ، فقم بسحب الرسالة الكاملة ، إلى جانب اسم المستخدم أو اسم المجموعة أو القناة ، إلى خادم بعيد.


أخيرًا ، تأتي مجموعة رابعة من أدوات قص Android مزودة بإمكانيات لتبديل عنوان المحفظة بالإضافة إلى جمع معلومات الجهاز وبيانات Telegram مثل الرسائل وجهات الاتصال.

أسماء حزم Android المارقة مذكورة أدناه -

  • org.telegram.messenger
  • org.telegram.messenger.web2
  • org.tgplus.messenger
  • io.busniess.va.whatsapp
  • com.whatsapp

قالت ESET إنها عثرت أيضًا على مجموعتين من مجموعات Windows ، أحدهما مصمم لمبادلة عناوين المحفظة والمجموعة الثانية التي توزع أحصنة طروادة (RATs) للوصول عن بُعد بدلاً من المقصات للسيطرة على المضيفين المصابين وارتكاب سرقة التشفير.

تستند جميع عينات RAT التي تم تحليلها إلى Gh0st RAT المتاح للجمهور ، باستثناء واحد ، والذي يستخدم المزيد من عمليات التحقق من وقت التشغيل المضاد للتحليل أثناء تنفيذه ويستخدم مكتبة HP-socket للتواصل مع الخادم الخاص به.

تجدر الإشارة أيضًا إلى أن هذه المجموعات ، على الرغم من اتباع طريقة عمل مماثلة ، تمثل مجموعات متباينة من الأنشطة التي يُحتمل أن تكون قد طورتها جهات تهديد مختلفة.

الحملة ، مثل عملية إلكترونية خبيثة مماثلة ظهرت العام الماضي ، موجهة نحو المستخدمين الناطقين بالصينية ، مدفوعة بشكل أساسي بحقيقة أن كلاً من Telegram و WhatsApp محظوران في البلاد.

وقال الباحثون إن "الراغبين في الاستفادة من هذه الخدمات يضطرون إلى اللجوء إلى وسائل غير مباشرة للحصول عليها". "مما لا يثير الدهشة ، يشكل هذا فرصة ناضجة لمجرمي الإنترنت لإساءة استخدام الموقف."

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة