امن وحماية المعلومات

حملة خبيثة جديدة “Silent Swap” تستهدف XRP وBTC عبر إضافة مزيفة لجوجل

اكتشف باحثو الأمن السيبراني في شركة “ماكافي” حملة خبيثة متطورة تُعرف باسم “سايلنت سواب”، صُممت لتحويل معاملات البيتكوين والعملات الرقمية مثل “إكس آر بي” عن طريق التلاعب بمتصفحات تعمل بنظام “كروميوم”. ويوضح التقرير الفني للشركة أن المهاجمين يتمكنون من اعتراض الحافظة (الكلبورد) الخاصة بالمستخدمين واستبدال عناوين المحافظ الرقمية الصحيحة بعناوين محافظ يسيطر عليها المهاجمون.

تبدأ الإصابة الأولية عندما يقوم المستخدم بتحميل ملفات تثبيت معدلة. ويذكر تقرير “ماكافي” أن هذه الملفات القابلة للتنفيذ، والمطورة بلغتي برمجة مثل “.NET” أو “جولانج”، يتم توزيعها عادة تحت غطاء برامج مجانية أو نسخ مقرصنة من البرامج التجارية.

بمجرد أن يشغل المستخدم ملف التثبيت هذا على نظام التشغيل الخاص به، يقوم الجزء الخبيث بتثبيت نفسه تلقائياً في مساحة التخزين المحلية. ويوضح التقرير الفني أن هذه العملية تقوم بتغيير ملفات الإعدادات الداخلية لمتصفح المستخدم بشكل مباشر.

أساليب متطورة للتهرب والثبات داخل النظام

يقوم البرنامج الخبيث بحقن إضافة (إكستنشن) داخل المتصفح تتظاهر بأنها أداة “جوجل نوتس” الشرعية. ووفقاً لبيانات “ماكافي”، فإن هذا البرنامج الخبيث قادر على تجاوز دفاعات المتصفحات المعتادة مثل “جوجل كروم” و”مايكروسوفت إيدج” و”بريف” و”أوبرا”، وذلك عن طريق إعادة حساب قيم التحقق الأمني التي تتطلبها هذه الأنظمة بعد إجراء التعديلات الداخلية.

ويذكر تقرير شركة الأمن السيبراني أن “الإضافة المزيفة تمنح نفسها أذونات قوية وخطيرة داخل النظام بمجرد تثبيتها”.

على عكس أحصنة طروادة من نوع “كليبر” التقليدية التي تحتوي على عناوين ثابتة داخل شفرتها البرمجية، يستخدم هذا النظام بنية تحتية ديناميكية. فعندما تكتشف الشفرة أن المستخدم قد نسخ عنواناً يتطابق مع أنماط عملات مثل “بيتكوين” و”إيثريوم” و”إكس آر بي” و”بيتكوين كاش” و”داش”، فإنها تتصل مباشرة بخادم المهاجم.

ويشير محللو “ماكافي” إلى أن الخادم يعيد عنواناً بديلاً في الوقت الفعلي يتطابق مع العملة الرقمية التي تم اكتشافها. هذه الآلية تجعل عملية التتبع صعبة على محللي الأمن بسبب التغيير المستمر في عناوين المحافظ المستقبلة للعملات.

كما أن البنية التحتية للهجوم لا تعتمد على نطاقات ثابتة. ووفقاً لوثائق “ماكافي”، يستخدم المشغلون أسلوباً يعرف باسم “إيثر هايدينغ”، والذي يسمح لهم بإخفاء تعليمات السيطرة والتحكم (C2) داخل العقود الذكية على شبكات البلوكشين العامة. وقد حدد التحليل الجغرافي للشركة أن الحملة لها انتشار عالمي، مع رصد عدد كبير جداً من الأنظمة المخترقة في منطقة الهند خلال مراحل المراقبة في النصف الأول من هذا العام.

الأسئلة الشائعة (FAQ)

  • س: كيف تحمي نفسي من هجمات “سايلنت سواب”؟
    ج: تجنب تحميل البرامج من مصادر غير موثوقة أو استخدام النسخ المقرصنة. تأكد دائماً من صحة عنوان المحفظة الرقمية قبل إرسال أي عملة، وقم بتفعيل خاصية التحقق بخطوتين لحماية حساباتك.
  • س: ما هي المتصفحات الأكثر عرضة لهذه الهجمات؟
    ج: الهجوم يستهدف المتصفحات المبنية على نظام “كروميوم” مثل جوجل كروم ومايكروسوفت إيدج وبريف وأوبرا. حافظ على تحديث متصفحك دائماً لسد أي ثغرات أمنية.
  • س: كيف يعمل هجوم “إيثر هايدينغ” المستخدم في الحملة؟
    ج: يستخدم المهاجمون العقود الذكية على شبكات البلوكشين العامة لإخفاء تعليمات الخادم الخاص بهم، مما يجعل من الصعب على فرق الأمن تعقب مصدر الهجوم أو إغلاقه.

فيلسوف البيتكوين

مفكر واستراتيجي في العملات الرقمية، يقدم تحليلات عميقة ونصائح فلسفية حول أسواق البيتكوين والتشفير.
زر الذهاب إلى الأعلى