مشكلة مزدوجة: سرقة DoubleFinger للعملات المشفرة

نشرح كيف يقوم البرنامج الضار DoubleFinger المتقدم بتنزيل GreetingGhoul، وهو سارق يفترس محافظ العملات المشفرة.

تتعرض العملات المشفرة للهجوم من جميع أنواع المخططات الإجرامية – بدءًا من عمليات الاحتيال العادية في تعدين البيتكوين إلى grandiose العمليات الضخمة للسطو على العملات المشفرة التي تبلغ قيمتها مئات الملايين من الدولارات.

بالنسبة لمالكي العملات المشفرة، تكمن المخاطر في كل منعطف حرفيًا. تحدثنا مؤخرًا عن محافظ العملات المشفرة المزيفة — والتي تبدو وتعمل تمامًا مثل تلك الحقيقية ولكنها في نهاية المطاف تسرق كل أموالك. الآن اكتشف خبراؤنا الآن تهديدًا جديدًا تمامًا: هجوم متطور باستخدام أداة التحميل DoubleFinger، والذي يجمع أصدقاءه بصورة سارق التشفير GreetingGhoul وTrojan Remcos للوصول عن بعد. ولكن المهمة الأولى…

كيف يعمل DoubleFinger على تثبيت GreetingGhoul

لاحظ خبراؤنا المستوى التقني العالي للهجوم وطبيعته متعددة المراحل، والتي تشبه هجوم التهديد المستمر المتقدم (APT). تبدأ إصابة DoubleFinger برسالة بريد إلكتروني تحتوي على ملف PIF ضار. وبمجرد أن يفتح المتلقي المرفق، تبدأ سلسلة من الأحداث على النحو التالي:

المرحلة الأولى. ينفّذ DoubleFinger كود قشرة يقوم بتنزيل ملف بتنسيق PNG من منصة مشاركة الصور Imgur.com. لكنها ليست صورة على الإطلاق: يحتوي الملف على مكونات DoubleFinger المتعددة في شكل مشفر، والتي يتم استخدامها في المراحل اللاحقة من الهجوم. وتشمل هذه أداة التحميل لاستخدامها في المرحلة الثانية من الهجوم، وملف java.exe، وملف PNG آخر سيتم نشره لاحقًا في المرحلة الرابعة.

المرحلة الثانية. يتم تشغيل أداة تحميل المرحلة الثانية من DoubleFinger باستخدام ملف java.exe المشروع المذكور أعلاه، وبعد ذلك يُنفّذ كود قشرة آخر يقوم بتنزيل المرحلة الثالثة من DoubleFinger وفك تشفيرها وتشغيلها.

المرحلة الثالثة. في هذه المرحلة، يقوم DoubleFinger بسلسلة من الإجراءات لتجاوز برامج الأمان المثبتة على جهاز الكمبيوتر. بعد ذلك، يقوم المحمل بفك تشفير وتشغيل المرحلة الرابعة، الواردة في ملف PNG الجديد المذكور في المرحلة الأولى. بالمناسبة، لا يحتوي ملف PNG هذا على الشفرة الخبيثة فحسب، بل يحتوي أيضًا على الصورة التي أعطت البرنامج الضار اسمه:

ملف PNG الذي يستخدمه DoubleFinger مع المرحلة الرابعة من الشفرة الخبيثة

الإصبعان اللذان استمد منهما اسم DoubleFinger

 

المرحلة الرابعة. في هذه الخطوة، تطلق DoubleFinger المرحلة الخامسة باستخدام تقنية تسمى Process Doppelgänging، حيث تستبدل العملية المشروعة بعملية معدلة تحتوي على حمولة المرحلة الخامسة.

المرحلة الخامسة. بعد كل عمليات التلاعب المذكورة أعلاه، يقوم DoubleFinger بعمل ما تم تصميمه من أجله: تحميل وفك تشفير ملف PNG آخر — هذا الملف الذي يحتوي على الحمولة النهائية. هذا هو سارق التشفير GreetingGhoul، الذي يقوم بتثبيت نفسه في النظام وتتم جدولته في جدولة المهام للتشغيل يوميًا في وقت معين.

كيف يسرق GreetingGhoul محافظ العملات المشفرة

بمجرد قيام أداة تحميل DoubleFinger بعملها، يتم تشغيل GreetingGhoul مباشرة. يحتوي هذا البرنامج الضار على مكونين متكاملين:

  1. واحد يكتشف تطبيقات المحفظة المشفرة في النظام ويسرق البيانات التي تهم المهاجمين (المفاتيح الخاصة والعبارات الأولية)
  2. والآخر يُموّه واجهة تطبيقات العملات المشفرة ويعترض مدخلات المستخدم.
يتخطى GreetingGhoul واجهة تطبيقات العملة المشفرة

مثال على تراكب GreetingGhoul لواجهة تطبيقات المحفظة المشفرة

 

نتيجة لذلك، يستطيع مجرمو الإنترنت الذين يقفون وراء DoubleFinger التحكم في محافظ العملات المشفرة للضحية وسحب الأموال منها.

وجد خبراؤنا العديد من تعديلات DoubleFinger، وبعضها – التحضير للعملية – يثبت الوصول عن بُعد إلى Trojan Remcos الشائع جدًا (في الدوائر الإجرامية الإلكترونية) في النظام المصاب. والغرض المقصود منه موجود تمامًا في الاسم — التحكم عن بعد والمراقبة. بعبارة أخرى، يسمح Remcos لمجرمي الإنترنت بمراقبة جميع إجراءات المستخدم والاستيلاء و السيطرة الكاملة على النظام المصاب.

كيفية حماية محافظ العملات المشفرة الخاصة بك

لا تزال العملات المشفرة نقطة جذب لمجرمي الإنترنت، لذلك يحتاج جميع مستثمري العملات المشفرة إلى التفكير مليًا في الأمن. عند الحديث عن ذلك، نُوصي بقراءة منشورنا الأخير حماية استثمارات العملة المشفرة: أربع خطوات رئيسية للأمان.. في هذه الأثناء، إليك ملخصًا بنقاطها الرئيسية:

  • توقع عمليات النصب. عالم العملات المشفرة مليء بالمحتالين من كل جانب، لذا قم بالفحص باستمرار بحثًا عن الأفخاخ الخداعية، وافحص كل شيء دائمًا وتحقق منه بدقة.
  • لا تضع البيض كله في سلة واحدة. استخدم مزيجًا من المحافظ المتصلة بالإنترنت (للمعاملات الحالية) والمحافظ الباردة “غير المتصلة بالإنترنت) (للاستثمارات طويلة الأجل).
  • تعلم كيف يمكن لمجرمي الإنترنت مهاجمة محافظ العملات المشفرة الباردة.
  • الشراء من المصادر الرسمية: شراء محافظ الأجهزة فقط من المصادر الرسمية والموثوق بها، مثل الموقع الشبكي للشركة المصنعة أو البائعين المعتمدين؛ هذا شراء محفظة عملات مشفرة مزيفة..
  • التحقق من علامات التلاعب: قبل استخدام أجهزة محافظ جديدة، افحصها بحثًا عن أي علامات على العبث، مثل الخدوش أو الغراء أو المكونات غير المتطابقة.
  • تحقق من البرنامج الثابت: تحقق دائمًا من أن البرنامج الثابت الموجود على محفظة الأجهزة شرعي ومحدث. يمكن القيام بذلك عن طريق التحقق من موقع الشركة المصنعة على الويب للحصول على أحدث إصدار.
  • لا تقم أبدًا بملء بذرة الاسترداد الخاصة بك للمحفظة على جهاز الكمبيوتر. لن يطلب بائع جهاز المحفظة ذلك أبدًا.
  • حماية كلمات المرور والمفاتيح والعبارات الأولية. استخدم كلمات مرور قوية ومميزة، Kaspersky Password Manager قم بتخزينها بأمان وبالتأكيد، لا تعط أبدًا مفاتيحك الخاصة أو عباراتك الأولية لأي شخص تحت أي ظرف من الظروف.
  • احم نفسك. تأكد من تثبيت Kaspersky Premium للحماية الموثوقة على جميع الأجهزة التي تستخدمها لإدارة محافظ العملات المشفرة.
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!