مستخدمو كاردانو تحت الهجوم: كيف يهدد التصيد الاحتيالي والبرامج الضارة محفظتك

تستهدف حملة هجوم متطورة مستخدمي عملة كاردانو من خلال توزيع منسق لرسائل التصيد الاحتيالي والبرمجيات الخبيثة. يقوم المهاجمون بانتحال فريق محفظة Eternl Desktop الشرعي، مستغلين رسائل بريد إلكتروني خادعة لجذب الضحايا لتحميل مثبت ضار يمنحهم وصولاً كاملاً عن بُعد إلى النظام. تجمع هذه التهديدات متعددة الطبقات بين الهندسة الاجتماعية وتقنيات اختراق النقاط النهائية المتقدمة.

حملة خادعة تنتحل شخصية محفظة Eternl من خلال اتصالات احتيالية

أطلق المهاجمون هجوماً منسقاً عبر التصيد الاحتيالي بانتحال شخصية أعضاء فريق Eternl من خلال رسائل بريد إلكتروني مصممة بشكل احترافي. تروّج هذه الرسائل المزيفة لنسخة غير موجودة من المحفظة المكتبية، مع ادعاء تقديم مكافآت حصرية للعملات المشفرة، وتحديداً رموز NIGHT و ATMA. تبرز الاتصالات الاحتيالية ميزات زائفة مثل إدارة المفاتيح المحلية وتوافق مع المحافظ المادية — وهي تفاصيل تم نسخها من إعلانات Eternl الرسمية.

تظهر الرسائل بمظهر احترافي مع نصوص صحيحة نحويًا وبدون أخطاء إملائية واضحة، مما يخلق انطباعاً بالأصالة ويزيد من احتمالية تفاعل المستخدمين معها. يُطلب من المستلمين النقر على رابط يؤدي إلى نطاق مسجل حديثاً: download(dot)eternldesktop(dot)network. ووفقاً للباحث الأمني أنوراغ، استثمر المهاجمون جهداً كبيراً في محاكاة أساليب التواصل الرسمية وتحديد المنتج بشكل دقيق لتجاوز شكوك المستخدمين.

الاستراتيجية الأساسية للخداع تدور حول الاستعجال والحوافز. من خلال وعد رموز المكافآت وإظهار “نسخة المحفظة الجديدة” كفرصة حصرية، يستغل المهاجمون فضول أعضاء مجتمع كاردانو الطبيعي. بمجرد أن ينقر المستخدمون، يواجهون مطالب بتنزيل ملف MSI، وهو نقطة الدخول إلى الاختراق الحقيقي.

آلية توصيل البرمجيات الخبيثة: تروجان الوصول عن بُعد مخفي في المثبت

المثبت الضار، المسمى Eternl.msi (هاش الملف: 8fa4844e40669c1cb417d7cf923bf3e0)، يحتوي على أداة LogMeIn Resolve مدمجة. عند التشغيل، يضع المثبت ملف تنفيذي بعنوان “unattended updater.exe” — وهو نسخة مشفرة من GoToResolveUnattendedUpdater.exe. هذا الملف التنفيذي هو الحمولة الفعلية للبرمجية الخبيثة المسؤولة عن اختراق النظام.

بمجرد التثبيت، ينشئ التروجان بنية مجلدات محددة داخل Program Files ويكتب عدة ملفات تكوين، بما في ذلك unattended.json و pc.json. تفعيل ملف unattended.json يتيح قدرات الوصول عن بُعد دون علم أو موافقة المستخدم. هذا يمكّن المهاجمين من إقامة اتصال دائم بجهاز الضحية، مما يمنحهم السيطرة الكاملة على الملفات والعمليات والاتصالات الشبكية.

يكشف تحليل حركة المرور الشبكية أن النظام المخترق يحاول إقامة اتصالات مع بنية تحكم وأوامر معروفة لـ GoTo Resolve، وتحديداً devices-iot.console.gotoresolve.com و dumpster.console.gotoresolve.com. ترسل البرمجية الخبيثة بيانات استكشاف النظام بصيغة JSON، مما يخلق باب خلفي يسمح للتهديدات بتنفيذ أوامر عشوائية وسرقة بيانات حساسة.

التعرف على العلامات الحمراء قبل التثبيت

يمكن للمستخدمين التعرف على هذا الهجوم وتجنبه من خلال فحص عدة مؤشرات تحذيرية. يجب أن تتم عمليات تنزيل المحافظ الشرعية فقط من مواقع المشاريع الرسمية أو المستودعات الموثوقة — النطاقات المسجلة حديثاً تعتبر علامات حمراء فورية. قنوات التوزيع الرسمية لـ Eternl لا تتضمن حملات بريد إلكتروني غير مرغوب فيها تقدم مكافآت رمزية.

قبل التثبيت، ينبغي للمستخدمين التحقق من توقيعات الملفات وقيم الهاش مقابل الإعلانات الرسمية. وجود ملفات تنفيذية غير موقعة أو اختلافات في الهاشات التشفيرية يشير إلى التلاعب. بالإضافة إلى ذلك، لا ينبغي أن يتطلب برنامج المحفظة الشرعي صلاحيات مرتفعة أو أن يخلق مجلدات وملفات تكوين مخفية أثناء التثبيت.

تشمل ممارسات الأمان المثلى لمستخدمي كاردانو: التحقق من عناوين البريد الإلكتروني للمرسلين مقابل قوائم الاتصال الرسمية، فحص عناوين URL بحثاً عن أخطاء إملائية دقيقة أو تسجيل نطاقات مشبوهة، تجنب التنزيلات من روابط البريد الإلكتروني، والحفاظ على تحديث برامج مكافحة الفيروسات القادرة على اكتشاف تروجان الوصول عن بُعد مثل البرمجية الخبيثة المستندة إلى LogMeIn.

الدروس المستفادة من عمليات الاحتيال المشابهة: سابقة Meta

تطابق نمط الهجوم هذا بشكل وثيق حملة تصيد احتيالي سابقة استهدفت مستخدمي Meta Business. في تلك الحادثة، تلقى الضحايا رسائل بريد إلكتروني تدعي أن حسابات إعلاناتهم تم تعليقها بسبب انتهاكات تنظيمية في الاتحاد الأوروبي. استخدمت الرسائل علامات تجارية رسمية ولغة موثوقة لإضفاء المصداقية. عند النقر، يُوجه المستخدمون إلى صفحات تسجيل دخول مزيفة لـ Meta Business، حيث يُطلب منهم إدخال بيانات الاعتماد. ثم يتم توجيه الضحايا عبر دردشة دعم وهمية من أجل “عملية استرداد” تجمع بيانات المصادقة الخاصة بهم.

تشابهات الهيكل بين حملة Meta وهجوم كاردانو هذا تظهر تطوراً في أسلوب المهاجمين: انتحال شخصية علامة تجارية موثوقة، خلق حالة من الاستعجال الاصطناعي، جمع بيانات الاعتماد أو نشر البرمجيات الخبيثة، واستغلال ثقة المستخدمين في الاتصالات الرسمية. يزيد الوعي بهذه الأساليب من القدرة الدفاعية عبر مجتمعات العملات المشفرة والأصول الرقمية بشكل أوسع.

يحث الباحثون الأمنيون جميع المشاركين في نظام كاردانو على اليقظة، والتحقق من المصادر بشكل مستقل، والإبلاغ عن الاتصالات المشبوهة إلى فرق الأمان الرسمية.