الباب الخلفي للازاروس في محفظة DeFi

لا تزال مجموعة لازاروس تهاجم العملة المشفرة: يوزع مجرمو الإنترنت محافظ Defi المزودة بباب خلفي مدمج

في منتصف ديسمبر من العام الماضي، تم تحميل ملف مشبوه إلى فايروس توتال – الخدمة عبر الإنترنت التي تفحص الملفات بحثًا عن البرامج الضارة. للوهلة الأولى، بدا وكأنه مثبت محفظة العملات المشفرة. لكن خبراءنا قاموا بتحليله ووجدوا أنه، إلى جانب المحفظة، فإنه يسلم برامج ضارة إلى جهاز المستخدم. ويبدو أن البرنامج ليس من عمل المحتالين الصغار — ولكن من عمل مجرمي الإنترنت سييئ السمعة التابعين للازاروس.

ما هو لازاروس؟

(لازاروس) هي مجموعة من التهديدات المستعصية المتقدمة. مثل هذه الجماعات هي منظمات إجرامية سيبرانية تمول بشكل جيد، وتطور برامج ضارة معقدة، وتتخصص في الهجمات المستهدفة — على سبيل المثال للتجسس الصناعي أو السياسي. إن سرقة الأموال، إذا كانت تثير اهتمامهم على الإطلاق، ولكنها ليست عادة هدفهم الأساسي.

ومع ذلك، فإن لازاروس هي مجموعة من التهديدات المستعصية المتقدمة تسعى بنشاط لسرقة أموال الآخرين. في عام 2016، على سبيل المثال، هربت المجموعة بمبلغ كبير من البنك المركزي لبنغلاديش؛ في عام 2018 أصابت بورصة عملات مشفرة ببرامج ضارة؛ وفي عام 2020 حاولت استخدام برامج الفدية.

محفظة DeFi المزودة بباب خلفي

الملف الذي جذب أنظار الباحثين لدينا يحتوي على مثبت مصاب لمحفظة تشفير لامركزية مشروعة. DeFi (التمويل اللامركزي) هو نموذج مالي لا يوجد فيه وسطاء مثل البنوك، ويتم إجراء جميع المعاملات مباشرة بين المستخدمين. في السنوات الأخيرة، اكتسبت تقنية DeFi شعبية. وفقًا لـ Forbes، على سبيل المثال، من مايو 2020 إلى مايو 2021، زادت قيمة الأصول الموضوعة في أنظمة DeFi بمقدار 88 مرة. ليس من المستغرب إذن أن تجذب DeFi اهتمام المجرمين السيبرانيين.

ليس واضحًا تمامًا كيف يقنع مجرمو الإنترنت الضحايا بتحميل الملف المصاب وتشغيله. ومع ذلك، يفترض خبراؤنا أن المهاجمين يرسلون للمستخدمين رسائل بريد إلكتروني مستهدفة أو رسائل في وسائل التواصل الاجتماعي.على عكس المراسلات الجماعية، يتم تصميم هذه الرسائل لمتلقي معين ويمكن أن تبدو معقولة للغاية.

على أي حال، عندما يقوم المستخدم بتشغيل المثبت، فإنه ينشئ ملفين تنفيذيين: أحدهما — برنامج ضار، والآخر — مثبت محفظة تشفير نظيف. يخفي البرنامج الضار نفسه كمتصفح Google Chrome ويحاول إخفاء وجود المثبت المصاب عن طريق نسخ مثبت نظيف في مكانه، والذي يعمل على الفور حتى لا يشك المستخدم في أي شيء. بمجرد تثبيت المحفظة بنجاح، يستمر تشغيل البرنامج الضار في الخلفية.

ما مدى خطورته؟

البرمجيات الخبيثة التي تتسلل إلى الكمبيوتر مع محفظة DeFi عبارة عن باب خلفي. اعتمادًا على نوايا المشغل، يمكن للباب الخلفي إما حصاد المعلومات أو توفير التحكم عن بعد على الجهاز. ويمكنه على وجه التحديد:

  • بدء العمليات وإنهاؤها؛
  • تنفيذ الأوامر على الجهاز؛
  • قم بتنزيل الملفات إلى الجهاز وحذفها وإرسالها من الجهاز إلى خادم C&C.

بمعنى آخر، في حالة حدوث هجوم ناجح، يمكن للبرنامج الضار تعطيل برنامج مكافحة الفيروسات وسرقة ما يحلو له — من المستندات القيمة والحسابات والمال. ويمكنه أيضًا تحميل برامج ضارة أخرى على الكمبيوتر حسبما يراه مجرمو الإنترنت مناسبًا. كما هو الحال دائمًا، يتوفر المزيد من التفاصيل في التحليل الفني لطروادة على مدونتنا الخبيرة Securelist.

كيف لا تقع ضحية

إذا كنت تتعامل مع الشؤون المالية، وخاصة العملة المشفرة، فكن حذرًا من الرسائل التي تحاول إقناعك بتثبيت برامج من مصادر غير موثوقة. بالإضافة إلى ذلك،  تأكد من أن أجهزتك آمنة   — خاصة تلك التي تستخدمها لمعاملات العملة المشفرة. سيساعد الحل الأمني الموثوق في الحالات التي لا يكون فيها الانتباه البسيط كافيًا.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!