كاسبرسكي تكشف عن أحد أخطر برامج الاختراق الخبيثة لسرقة العملات الرقمية من المحافظ

يحذر خبراء من فريق كاسبرسكي للبحوث والتحليل العالمي (GReAT) من أن مئات المستخدمين في 25 دولة معرضون لخطر سرقة أصولهم، بعد أن دخل إطار البرمجيات الخبيثة الخطير “OkoBot” الذي يستهدف مالكي العملات الرقمية مرحلته النشطة.
لقد غير القراصنة تكتيكاتهم بالكامل، وأصبحوا الآن يستهدفون الأشخاص الذين اعتقدوا أنهم محميون بالكامل، كما يشير المحللون في تقرير جديد.
تسرق هذه البرمجية الخبيثة الأموال عن طريق اعتراض وظائف التطبيقات الرسمية “Ledger Live” و”Ledger Wallet” و”Trezor Suite” وعرض نافذة تحقق مزيفة. لتجنب الوقوع في هذا الفخ، يُنصح المستخدمون باتباع ثلاث قواعد أمان رئيسية بدقة:
في هذه الحملة، يستهدف المهاجمون عمدًا متخصصي تكنولوجيا المعلومات ومطوري البرمجيات. يحدث الاختراق الأولي عندما يخفي القراصنة البرمجيات الخبيثة على شكل أدوات عمل شائعة ويوزعون البرامج المصابة عبر موقع “GitHub”.
على وجه الخصوص، اكتشف الباحثون بالفعل هذه البرمجية الخبيثة داخل مُثبّت مزيف لبرنامج “Microsoft SQL Server Management Studio (SSMS)”.
في الوقت نفسه، يستخدم المهاجمون هجمات “ClickFix” المتطورة، وهي تقنية هندسة اجتماعية يتم فيها إقناع المستخدمين بنسخ وتشغيل كود ضار في نافذة الأوامر بحجة إصلاح خطأ مفاجئ في المتصفح.
ماذا بعد: توقعات المحللين
وفقًا لفريق كاسبرسكي GReAT، وبما أن البرمجية الخبيثة تستخدم هيكلًا معياريًا يتكون من أكثر من 20 مكونًا، بما في ذلك برنامج سرقة المعلومات “Rilide” ووحدة المراقبة “OkoSpyware”، فمن المتوقع أن يتوسع النطاق الجغرافي للهجمات ليشمل دولًا غير تلك التي تشهد أعلى معدلات الإصابة حاليًا، والتي تتقدمها البرازيل وفيتنام وكندا والمكسيك وتركيا.
من المتوقع أيضًا ظهور إضافات مخفية جديدة لمتصفحات “كروميوم” مثل “Chrome” و”Edge”. يمكن للبرمجية الخبيثة إزالة هذه الإضافات بالكامل من القائمة المرئية للإضافات المثبتة، تاركة المستخدمين غير مدركين لوجودها.
قد تتضمن المرحلة النهائية بيع الوصول إلى أجهزة الضحايا على نطاق واسع. بعد تثبيت نفسها في النظام، تقوم “OkoBot” بإنشاء حساب مدير جديد سرًا وفتح نفق SSH دائم للتحكم عن بعد عبر بروتوكول “RDP”.
الأسئلة الشائعة
- س: ما هو برنامج OkoBot الخبيث وكيف يسرق العملات الرقمية؟
ج: OkoBot هو إطار برمجي خبيث خطير يستهدف مالكي العملات الرقمية. يسرق الأموال عن طريق اعتراض تطبيقات المحافظ الرسمية مثل “Ledger Live” و”Trezor Suite” وعرض نافذة تحقق مزيفة لخداع المستخدمين. - س: كيف يتم توزيع هذا البرنامج الخبيث على الضحايا؟
ج: يقوم القراصنة بإخفاء البرنامج الخبيث على شكل أدوات عمل شائعة ويوزعونه عبر موقع “GitHub”، مثل مُثبّت مزيف لبرنامج “SSMS”. كما يستخدمون هجمات “ClickFix” لخداع المستخدمين لتشغيل الكود الضار بأنفسهم. - س: ما الذي يجب على المستخدمين فعله لحماية أنفسهم؟
ج: يجب على المستخدمين اتباع قواعد الأمان الثلاث بدقة: (1) تنزيل البرامج من المصادر الرسمية فقط، (2) عدم تشغيل أوامر من مواقع غير موثوقة، (3) استخدام محافظ أجهزة موثوقة وتحديثها باستمرار. من المتوقع أيضًا ظهور إضافات متصفح مخفية جديدة، لذا يجب مراقبة الإضافات المثبتة بانتظام.












