حدد الصفحة

Lazarus توزّع تطبيقًا رسميًا للتمويل اللامركزي يحتوي على تروجان لسرقة العملات الرقمية

Lazarus توزّع تطبيقًا رسميًا للتمويل اللامركزي يحتوي على تروجان لسرقة العملات الرقمية

استهدفت عصابة التهديدات المتقدمة المستمرة Lazarus، المعروفة بتنامي الدوافع المالية وراء حملاتها التخريبية، شركات العملات الرقمية بتطبيق مختص بالتمويل اللامركزي يحتوي على تروجان خطر لسرقة العملات الرقمية. وتُواصل Lazarus استغلال التطبيقات الرسمية المستخدمة في إدارة محافظ العملات الرقمية وذلك بتوزيع برمجيات خبيثة تتيح التحكّم في أنظمة الضحايا المستهدفين.

وتُعد عصابة Lazarus إحدى أكثر عصابات الإنترنت نشاطًا في العالم، وهي تنشط منذ العام 2009 على الأقلّ. وبخلاف غالبية عصابات التهديدات المتقدمة المستمرة التي تحظى برعاية حكومية، فقد جعلت Lazarus تحقيق المكاسب المالية أحد أهدافها الرئيسة، وتواصل السعي في سبيل ذلك لإيجاد طرق جديدة لاستهداف المتعاملين بالعملات الرقمية، مع تواصل النمو في أسواق العملات الرقمية والرموز غير القابلة للاستبدال (NFT) والتمويل اللامركزي، المعروف اختصارًا بالاسم DeFi.

وكان باحثو كاسبرسكي كشفوا في ديسمبر 2021 عن حملة تخريبية استهدفت بها Lazarus شركات العملات الرقمية باستخدام تطبيق DeFi مفخّخ بتروجان خطر. ويتضمّن التطبيق برمجية رسمية سليمة تُدعى DeFi Wallet، تدير محافظ العملات الرقمية، ولكن التطبيق يضع عند تنفيذه ملفًا خبيثًا بجانب برمجية التثبيت الخاصة بالبرمجية السليمة، فيفعّل هذا الملف الخبيث برمجية خبيثة أخرى تتضمّن مسار تثبيت معدّل للتروجان. وبمجرد إنشاء هذه البرمجية الخبيثة فإنها تُلغي التطبيق السليم ليحلّ محله التطبيق المفخخ بالتروجان.

وليست البرمجية الخبيثة المستخدمة في استراتيجية الإصابة هذه، سوى منفذ خلفي بمزايا كاملة يتمتع بالقدرة على التحكّم في أنظمة الضحية عن بُعد، ويتيح للمهاجمين حذف الملفات وجمع المعلومات والاتصال بعناوين IP محددة والتواصل مع خادم القيادة والسيطرة. ويفترض الباحثون أن الدافع وراء هذه الحملة كان الكسب المالي، استنادًا على تاريخ هجمات Lazarus. ووجد الخبراء بعد بحثهم في وظائف هذا المنفذ الخلفي، العديد من التداخلات مع أدوات أخرى تستخدمها العصابة، مثل مجموعات البرمجيات الخبيثة CookieTime وThreatNeedle. كذلك يجري استخدام مخطط الإصابة متعدد المراحل هذا بكثافة في البنية التحتية للعصابة.

وأشار سيونغسو بارك، الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، إلى أن فريقه لاحظ اهتمام Lazarus الحالي بمجال العملات الرقمية، وتطويرها طرقًا معقدة للإيقاع بضحاياها دون لفت الانتباه إلى طريقة الإصابة التي تتبعها. وقال: “تستمر مجالات العملات الرقمية والبلوك تشين في التطور واستقطاب مزيد من الاستثمارات، ما يجعلها أيضًا جذابة، لا للمحتالين والمتصيدون وحدهم، وإنما أيضًا للباحثين عن الطرائد الكبيرة، ومنهم عصابات التهديدات المتقدمة المستمرة ذات الدوافع المالية”.

وأضاف: “في ضوء نموّ سوق العملات الرقمية، لا نتوقع أي تراجع قريب في اهتمام Lazarus بهذا المجال، ولذا نحث الشركات على أن تظل يقظة بشأن الروابط غير المعروفة والمرفقات في رسائل البريد الإلكتروني، التي قد تكون احتيالية حتى وإن بدت مألوفة وآمنة”.

ويمكن معرفة المزيد عن حملة Lazarus الجديدة على Securelist.com.

هذا، ويوصي باحثو كاسبرسكي باتخاذ الإجراءات التالية لتجنب الوقوع ضحية لهجمات موجّهة تشنّها جهات تهديد معروفة أو مجهولة:

  • إجراء تدقيق لمنظومة الأمن الرقمي ومراقبة مستمرة للشبكات المؤسسية لمعالجة أي ثغرات أو عناصر خبيثة تُكتشف في محيط الشبكة أو داخلها.
  • تزويد الموظفين بالتدريب الأساسي على السلامة الرقمية، نظرًا لأن العديد من الهجمات الموجهة تبدأ بمحاولات التصيّد أو بالاعتماد على مبادئ الهندسة الاجتماعية.
  • توعية الموظفين بشأن ضرورة عدم تنزيل البرمجيات والتطبيقات على الأجهزة المحمولة إلا من المصادر الموثوق بها ومتاجر التطبيقات الرسمية.
  • استخدام حلول للكشف عن التهديدات عند النقاط الطرفية والاستجابة لها (EDR)، مثل Kaspersky Managed Detection and Response، لتمكين التعامل مع حوادث الأمن الرقمي في الوقت المناسب ولا سيما التهديدات المتقدمة.
  • توظيف حلّ لمكافحة الاحتيال يمكن أن يحمي المعاملات التي تُجرى بالعملات الرقمية من خلال الكشف عن محاولات سرقة الحسابات والمعاملات وغسل الأموال، ومنعها.

عن المؤلف

شيماء زامل

التسويق على مواقع التواصل الإجتماعي، كاتبة محتوى إبداعي، مترجمة من اللغة العربية الى الإنجليزية، مديرة مجتمع

اخر الأخبار

WP Twitter Auto Publish Powered By : XYZScripts.com