أداة جديدة لسرقة العملات الرقمية تُسمى “StepDrainer” تستنزف الأموال من المحافظ على شبكات إيثريوم، بي إن بي تشين، أربيتروم، بوليجون، و 17 شبكة أخرى على الأقل.
كيف تعمل أداة StepDrainer؟
StepDrainer تعمل كمجموعة أدوات ضارة تُباع كخدمة. تستخدم نوافذ منبثقة مزيفة ولكنها واقعية لمحافظ Web3 لخداع الأشخاص والموافقة على تحويلات. بعض هذه الشاشات مصممة لتبدو مثل اتصالات محفظة Web3Modal.
بمجرد أن يربط الضحية محفظته، تبحث StepDrainer عن الرموز الأكثر قيمة أولاً وتُرسلها تلقائياً إلى محافظ يتحكم بها المهاجمون، وفقاً لشركة الأمن السيبراني LevelBlue.
إساءة استخدام أدوات العقود الذكية
تسيء StepDrainer استخدام أدوات العقود الذكية الحقيقية مثل Seaport و Permit v2 لإظهار نوافذ موافقة المحفظة التي تبدو طبيعية. لكن التفاصيل داخل تلك النوافذ مزيفة.
في إحدى الحالات، وجد باحثو الأمن السيبراني أن الضحايا رأوا رسالة مزيفة تقول إنهم يتلقون “+500 USDT”، مما جعل الموافقة تبدو آمنة.
تُحمّل StepDrainer كودها الضار من خلال نصوص متغيرة وتستعد حسابات لا مركزية على السلسلة. هذا الإعداد يساعد المهاجمين على تجنب أدوات الأمان العادية لأن الكود الضار لا يُخزّن في مكان ثابت واحد حيث يمكن فحصه بسهولة.
سوق تحت الأرض لأدوات السرقة
StepDrainer ليست مشروع شخص واحد. قال الباحثون إن هناك سوقاً تحت الأرض متطورة تبيع مجموعات أدوات سرقة جاهزة، مما يسهل على العديد من المهاجمين إضافة ميزات سرقة المحافظ إلى عمليات الاحتيال التي يديرونها بالفعل.
EtherRAT يستهدف مستخدمي ويندوز
وجد الباحثون أيضاً برنامجاً ضاراً آخر إلى جانب StepDrainer، يُسمى EtherRAT. يستهدف نظام ويندوز من خلال نسخة مزيفة من أداة إدارة الشبكة Tftpd64.
وفقاً لـ LevelBlue، يُخفي EtherRAT برنامج Node.js داخل مثبت مزيف، ويضمن بقاءه على الكمبيوتر من خلال تسجيل ويندوز، ويستخدم PowerShell لفحص النظام.
في البداية استهدف EtherRAT نظام لينكس. الآن يُحقق حيل البرامج الضارة وسرقة العملات الرقمية إلى ويندوز. يعمل EtherRAT بهدوء في الخلفية. يفحص أشياء مثل أدوات مكافحة الفيروسات، إعدادات النظام، تفاصيل النطاق، والأجهزة قبل أن يبدأ السرقة.
أكثر من 500 محفظة إيثريوم تم استنزافها
وفقاً لتقرير حديث من Cryptopolitan، تم استنزاف أكثر من 500 محفظة إيثريوم خلال الـ 24 ساعة الماضية. استنزف المهاجم أكثر من 800 ألف دولار من أصول العملات الرقمية ثم قام بتحويل الأموال عبر منصة ThorChain.
العديد من المحافظ المستنزفة كانت غير نشطة لأكثر من 7 سنوات، وفقاً لبحث السلسلة Wazz. تم توجيه الأموال المستنزفة بواسطة عنوان محفظة واحد يتحكم به المهاجم.
نصائح لحماية محفظتك
- تحقق من اسم النطاق قبل ربط محفظتك بأي موقع غير معروف
- اقرأ تفاصيل المعاملة بعناية قبل التوقيع
- قم بإلغاء أي موافقات غير محدودة على الرموز
الأسئلة الشائعة
س: ما هي أداة StepDrainer وكيف تسرق العملات الرقمية؟
ج: StepDrainer هي أداة ضارة تُباع كخدمة. تستخدم نوافذ منبثقة مزيفة تشبه محافظ Web3 الحقيقية لخداع الأشخاص للموافقة على تحويلات. بمجرد الموافقة، تبحث عن الرموز الأكثر قيمة في المحفظة وتُرسلها للمهاجمين.
س: ما الفرق بين StepDrainer و EtherRAT؟
ج: StepDrainer تستهدف جميع مستخدمي الويب من خلال نوافذ منبثقة مزيفة، بينما EtherRAT يستهدف مستخدمي ويندوز تحديداً عن طريق تنزيل برنامج ضار يختبئ داخل مثبت أداة شبكة مزيفة ويعمل في الخلفية لسرقة العملات الرقمية.
س: كيف أحمي نفسي من أدوات سرقة المحافظ مثل StepDrainer؟
ج: تأكد من أنك تزور مواقع موثوقة فقط، اقرأ تفاصيل المعاملة بعناية قبل التوقيع، ولا توافق أبداً على موافقات غير محدودة للرموز. يُنصح أيضاً بإلغاء الموافقات القديمة على محفظتك بانتظام.
