كشفت MistTrack مؤخرًا عن تهديد جديد في مجال العملات المشفرة يسرق الأموال من محافظ المستخدمين، ويأتي في شكل استغلال اختطاف وجد داخل برنامج تشغيل الطابعة.
في منشور حديث، قام الذراع السيبراني لشركة SlowMist بزيادة الوعي بشأن تهديد جديد نسبياً، ولكنه يصعب اكتشافه، يدخل مجال العملات المشفرة. من خلال برنامج تشغيل طابعة مثبت، يمكن لبرنامج خبيث خلفي اختطاف حافظة المستخدمين واستبدال عنوان محفظة العملات المشفرة المنسوخ الخاص بهم بعنوان المهاجم.
"السائق الرسمي المقدم من قبل هذا الطابعة يحمل برنامج خلفي. سيقوم باختطاف عنوان المحفظة في الحافظة الخاصة بالمستخدم واستبداله بعنوان المهاجم،" كتبت منصة الأمن السيبراني web3.
وفقًا للبيانات على السلسلة من MistTrack، فقد قام المهاجم بسرقة ما لا يقل عن 9.3086 بيتكوين (BTC) من العشرات من العناوين على السلسلة. بناءً على الأسعار الحالية، فإن الأموال المسروقة تصل إلى ما يقرب من مليون دولار أو حوالي 989,383 دولارًا.
عنوان محفظة التشفير نشط منذ 22 أبريل 2016. قبل أنشطته الأخيرة، كانت آخر عملية على السلسلة تم اكتشافها في 14 مارس 2024 وهي مرتبطة بالعديد من بورصات التشفير.
كيف يعمل الاستغلال؟
تحدث حالات استغلال البرمجيات الخبيثة المخفية، مثل تلك التي أبرزتها MistTrack، نتيجة لقيام المهاجمين بتوزيع الشيفرة الخبيثة من خلال برامج تحتاج إلى التثبيت في الأجهزة الخاصة بالمستخدم، مثل اللابتوب أو الكمبيوتر أو الجهاز المحمول. في هذه الحالة، أدخل المهاجم برنامج الباب الخلفي من خلال برنامج تشغيل الطابعة الذي يبدو شرعياً.
بمجرد التثبيت، يراقب السائق حافظة المستخدم - منطقة التخزين المؤقتة حيث يتم الاحتفاظ بالبيانات المنسوخة - بحثًا عن عناوين محافظ العملات الرقمية. إذا قام المستخدم بنسخ ما يبدو أنه عنوان محفظة العملات المشفرة من أجل إرسال الأموال، فإن البرمجيات الضارة تستبدله بدلاً من ذلك بعنوان محفظة المهاجم.
عندما يقوم المستخدم بلصق ما يعتقد أنه عنوان محفظة العملات المشفرة الأصلي من الحافظة ويفشل في ملاحظة التغيير المخترق، يتم إرسال الأموال بعد ذلك إلى محفظة المهاجم بدلاً من المستلم المقصود.
تم تسليط الضوء على استغلال مماثل من قبل CyberArk في مارس 2025، والذي شمل برنامج ضار يسمى MassJacker. أتاح البرنامج الضار للمهاجم الوصول إلى الحافظة الخاصة بالمستخدم لتغيير عنوان محفظة العملات المشفرة الأصلي وإعادة توجيه معاملات العملات المشفرة إلى محافظ تحت سيطرة المهاجم، مما يؤدي بشكل فعال إلى سرقة الأموال من محفظة الضحية.
على عكس استغلال برنامج تشغيل الطابعة، استخدم MassJacker أكثر من 750,000 عنوان فريد بدلاً من عنوان متكرر. تمكن البرنامج الضار من اختراق أجهزة المستخدمين من خلال برامج مقرصنة ومكسورة تم تحميلها من مواقع غير رسمية.
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
استغلال الطابعة يكشف تهديدًا جديدًا لمحافظ العملات المشفرة
كشفت MistTrack مؤخرًا عن تهديد جديد في مجال العملات المشفرة يسرق الأموال من محافظ المستخدمين، ويأتي في شكل استغلال اختطاف وجد داخل برنامج تشغيل الطابعة.
في منشور حديث، قام الذراع السيبراني لشركة SlowMist بزيادة الوعي بشأن تهديد جديد نسبياً، ولكنه يصعب اكتشافه، يدخل مجال العملات المشفرة. من خلال برنامج تشغيل طابعة مثبت، يمكن لبرنامج خبيث خلفي اختطاف حافظة المستخدمين واستبدال عنوان محفظة العملات المشفرة المنسوخ الخاص بهم بعنوان المهاجم.
"السائق الرسمي المقدم من قبل هذا الطابعة يحمل برنامج خلفي. سيقوم باختطاف عنوان المحفظة في الحافظة الخاصة بالمستخدم واستبداله بعنوان المهاجم،" كتبت منصة الأمن السيبراني web3.
وفقًا للبيانات على السلسلة من MistTrack، فقد قام المهاجم بسرقة ما لا يقل عن 9.3086 بيتكوين (BTC) من العشرات من العناوين على السلسلة. بناءً على الأسعار الحالية، فإن الأموال المسروقة تصل إلى ما يقرب من مليون دولار أو حوالي 989,383 دولارًا.
عنوان محفظة التشفير نشط منذ 22 أبريل 2016. قبل أنشطته الأخيرة، كانت آخر عملية على السلسلة تم اكتشافها في 14 مارس 2024 وهي مرتبطة بالعديد من بورصات التشفير.
كيف يعمل الاستغلال؟
تحدث حالات استغلال البرمجيات الخبيثة المخفية، مثل تلك التي أبرزتها MistTrack، نتيجة لقيام المهاجمين بتوزيع الشيفرة الخبيثة من خلال برامج تحتاج إلى التثبيت في الأجهزة الخاصة بالمستخدم، مثل اللابتوب أو الكمبيوتر أو الجهاز المحمول. في هذه الحالة، أدخل المهاجم برنامج الباب الخلفي من خلال برنامج تشغيل الطابعة الذي يبدو شرعياً.
بمجرد التثبيت، يراقب السائق حافظة المستخدم - منطقة التخزين المؤقتة حيث يتم الاحتفاظ بالبيانات المنسوخة - بحثًا عن عناوين محافظ العملات الرقمية. إذا قام المستخدم بنسخ ما يبدو أنه عنوان محفظة العملات المشفرة من أجل إرسال الأموال، فإن البرمجيات الضارة تستبدله بدلاً من ذلك بعنوان محفظة المهاجم.
عندما يقوم المستخدم بلصق ما يعتقد أنه عنوان محفظة العملات المشفرة الأصلي من الحافظة ويفشل في ملاحظة التغيير المخترق، يتم إرسال الأموال بعد ذلك إلى محفظة المهاجم بدلاً من المستلم المقصود.
تم تسليط الضوء على استغلال مماثل من قبل CyberArk في مارس 2025، والذي شمل برنامج ضار يسمى MassJacker. أتاح البرنامج الضار للمهاجم الوصول إلى الحافظة الخاصة بالمستخدم لتغيير عنوان محفظة العملات المشفرة الأصلي وإعادة توجيه معاملات العملات المشفرة إلى محافظ تحت سيطرة المهاجم، مما يؤدي بشكل فعال إلى سرقة الأموال من محفظة الضحية.
على عكس استغلال برنامج تشغيل الطابعة، استخدم MassJacker أكثر من 750,000 عنوان فريد بدلاً من عنوان متكرر. تمكن البرنامج الضار من اختراق أجهزة المستخدمين من خلال برامج مقرصنة ومكسورة تم تحميلها من مواقع غير رسمية.