برنامج ضار يسرق مستخدمي العملات الرقمية بأكثر من 1.82 مليون دولار: تقرير من SlowMist – اكتشف كيف تحمي أموالك الآن!
تم تحديد خطة سرقة جماعية للعملات المشفرة بعد تقارير مختلفة من المستخدمين تفيد بوصول غير مصرح به إلى أرصدة محافظهم في 14 فبراير 2025.
تحليل البرمجيات الخبيثة يظهر مخطط لجمع البيانات
أصدرت شركات الأمان SlowMist و OKX تقريرًا مشتركًا يُظهر أن تطبيقًا ضارًا يُسمى BOM كان مسؤولًا عن الهجمات. الدراسة أشارت إلى أن BOM كان يهدف إلى خداع المستخدمين لتوفير وصول إلى مكتبة الصور والتخزين المحلي الخاص بهم. عند منح الأذونات، يقوم التطبيق بسرية بفحص اللقطات أو الصور التي تحتوي على عبارات ذاكري المحافظ أو المفاتيح السرية، ويتم إرسالها إلى خوادم المهاجمين. وفقًا لـ MistTrack، أثر البرمجيات الخبيثة على ما لا يقل عن 13,000 مستخدم، ووصلت الأموال المسروقة إلى أكثر من 1.82 مليون دولار.
قام المهاجمون بتحويل الأموال عبر سلاسل بلوكشين مختلفة مثل Ethereum، وBSC، وPolygon، وArbitrum، وBase لمحاولة إخفاء تحركاتهم. أظهر تحليل فريق أمان OKX Web3 أن التطبيق بُني باستخدام إطار عمل UniApp cross-platform، وهو تصميم يهدف لاستخراج البيانات الحساسة.
يسعى BOM للحصول على إذن للوصول إلى معرض الصور المحلي والملفات عند التثبيت. ويدعي التطبيق زورًا أن الأذونات ضرورية لعمل التطبيق بشكل طبيعي. كشف تحليل التطبيق عن أن هدفه الرئيسي كان جمع وتحميل معلومات المستخدم. عند زيارة صفحة العقد في التطبيق، يقوم المستخدمون بتفعيل وظائف تقوم بفحص وجمع الملفات الإعلامية من تخزين الجهاز، والتي تُحمل إلى خادم بعيد مُدار من قبل المهاجمين.
تضمن الكود في التطبيق وظائف مثل “androidDoingUp” و “uploadBinFa”، التي تهدف فقط إلى تنزيل الصور ومقاطع الفيديو من الجهاز وتحميلها إلى المهاجمين. استخدم عنوان URL للإبلاغ نطاقًا تم الحصول عليه من التخزين المؤقت المحلي للتطبيق، مما يجعل من الصعب على المستخدمين تتبع وجهة بياناتهم. التطبيق الضار كان يحتوي أيضًا على توقيع مواضيع غريب بحروف عشوائية كدليل على عدم شرعيته.
تحليل الأموال المسروقة على السلسلة
أظهر تحليل البلوكشين للسرقة تدفقات الأموال على شبكات مختلفة. بدأ عنوان السرقة الأساسي أول معاملة له في 12 فبراير 2025 باستلام 0.001 BNB. على سلسلة BSC، حقق المهاجمون أرباحًا بقيمة حوالي 37,000 دولار، معظمها بعملات USDC، وUSDT، وWBTC.
- استخدم القراصنة PancakeSwap بشكل متكرر لتبادل الرموز المختلفة إلى BNB. حاليًا، لدى هذا العنوان 611 BNB وحوالي 120,000 دولار من الرموز مثل USDT، وDOGE، وFIL.
- على شبكة Ethereum، فقدت حوالي 280,000 دولار، معظمها من تحويلات ETH عبر سلسلة من الشبكات الأخرى. أودع المهاجمون 100 ETH في عنوان احتياطي، حيث تم تحويل 160 ETH من عنوان متصل آخر. إجمالاً، يُحتفظ بـ 260 ETH في هذا العنوان دون أي حركة إضافية.
- على شبكة Polygon، جمع المهاجمون حوالي 65,000 دولار من الرموز، بما في ذلك WBTC، وSAND، وSTG. تم تبادل معظم هذه الأموال على OKX-DEX مقابل حوالي 67,000 POL. لوحظت سرقات إضافية على Arbitrum (37,000 دولار) وBase (12,000 دولار)، حيث تم تبادل معظم الرموز مقابل ETH وتم ربطها بشبكة Ethereum.
الأسئلة المتكررة
- ما هو السبب الرئيسي وراء الهجمات؟
- كيف تمت معالجة الأموال المسروقة؟
- ما هي الخطوات التي تم اتخاذها للكشف عن التطبيق الضار؟
تم تحديد تطبيق خبيث يسمى BOM كان يهدف إلى الوصول إلى صور وملفات المستخدمين للبحث عن عبارات ذاكري المحافظ أو المفاتيح السرية.
قام المهاجمون بتحويل الأموال عبر سلاسل بلوكشين مختلفة، بما في ذلك Ethereum وBSC وPolygon وArbitrum وBase، لمحاولة إخفاء تحركاتهم.
كشف تحليل فريق أمان OKX Web3 عن وجود التطبيق الضار باستخدام إطار عمل UniApp والذي يهدف إلى استخراج البيانات الحساسة من أجهزة المستخدمين بإذن غير واضح.
