{بيتكوين} في مرمى البرمجيات الخبيثة

قراصنة يسرقون 140 ألف دولار في ساعات

اكتشف باحثون لدى كاسبرسكي لاب برمجية خبيثة تسرق العملات المشفرة من محفظة المستخدم عن طريق وضع عنوانها بدل عنوان المستخدم في حافظة الجهاز. ويستهدف المجرمون العملات المشفرة التي تحظى بالرواج، مثل بيتكوين وإثيريوم وزيكاش وداش ومونيرو. ونجح الجناة في التعامل مع محافظ بيتكوين، واستطاعوا سرقة ما يقرب من 140 ألف دولار، وفقاً لبيانات كاسبرسكي لاب. وعلاوة على ذلك، وجد الخبراء برمجية خبيثة جديدة، مصممة لسرقة مونيرو، من خلال عملية تُعرف باسم «Mining» أو الاستكشاف العميق.
وسرعان ما أصبحت العملات المشفرة (أو الافتراضية)، مع ازدهارها المستمر، هدفاً جذاباً لمجرمي الإنترنت في جميع أنحاء العالم. الأمر الذي رفع حجم عدد البرمجيات الخبيثة والسرقة، مما أثّر في آلاف الحواسيب وخلق عائدات إجرامية بمئات الآلاف من الدولارات. وفقا لباحثين من كاسبرسكي لاب؛ ولاحظ خبراء أن القراصنة (هاكرز) بدأوا في استخدام تقنيات أقل تقدماً، وأنهم يقضون وقتاً أقل وينفقون موارد أقل في هذا المجال.
كانت «بيتكوين» يجري تداولها في بداية العام الحالي، عند مستوى يتذبذب بفارق سنتات قليلة جدا حول 963.5 دولار، إلا أنه خلال الأسبوع الماضي، بلغت المكاسب الخيالية للعملة الافتراضية أكثر من 584 في المائة، حين سجلت تداولات عند مستوى 6592.6977 دولار.
ووفقاً للبحث، فإن لصوص العملات المشفرة، الذين يتزايدون انتشاراً منذ العام 2014 عاودوا مجدداً وضع أعينهم على مدّخرات المستخدمين المشفرة بهدف سرقتها.
واكتشف الباحثون في كاسبرسكي لاب برمجية خبيثة من نوع CryptoShuffler، مصممة لتغيير عناوين محافظ عملات المستخدمين المشفرة في حافظة الجهاز المصاب، التي تُستخدم للتخزين المؤقت للبيانات. وقد عُرفت هجمات اختطاف الحافظات لسنوات، والتي توجّه المستخدمين إلى مواقع خبيثة وتستهدف أنظمة المدفوعات عبر الإنترنت. ومع ذلك، فإن الحالات التي تنطوي على عنوان مضيف لعملات مشفرة تبقى نادرة الحدوث. وإذا رغب المستخدم في نقل عملة مشفرة إلى مستخدم آخر، فمن الضروري، في معظم العملات المشفرة، معرفة رقم الهوية الخاصة بمحفظة المتلقي، وهو رقم فريد يتألف من عدة خانات.
وأوضح بيان صحافي صادر من كاسبرسكي لاب، أن الخطوة الأولى تتمثل في بدأ برمجية CryptoShuffler بعد تهيئتها، بمراقبة حافظة الجهاز، التي يلجأ إليها المستخدم عند إجراء عملية دفع عبر الإنترنت، وذلك بنسخ رقم هوية المحفظة ولصقها في سطر «عنوان الوجهة» في التطبيق المستخدم لتنفيذ معاملة الدفع.
وتبدّل البرمجية الخبيثة محفظة المستخدم بأخرى مملوكة من الجهة التي تقف وراءها، وبالتالي فإن المستخدم بلصقه رقم هوية المحفظة في سطر «عنوان الوجهة»، سيضع عنواناً غير العنوان المقصود إرسال المال إليه في الأصل. ونتيجة لذلك، فإن الضحية ينقل المال مباشرة إلى المجرمين، إلا إذا اكتشف المستخدم بيقظته عملية التبديل المفاجئة، إلا أن ذلك لا يحدث عادة؛ فالأرقام متعددة الخانات وعناوين المحافظ في المنصات العاملة بتقنية «بلوك تشين» Blockchain يصعب تذكرها. ولذلك من الصعب تمييز حدوث أي تغيير في سطر المعاملة، حتى وإن وقع أمام عيني المستخدم.
ويحدث استبدال الوجهة في الحافظة على الفور، وذلك بفضل بساطة البحث عن عناوين المحفظة؛ فالغالبية العظمى من محافظ العملات المشفرة يكون لها موضع ثابت في سطر المعاملة ودائماً ما تستخدم عدداً معيناً من الخانات، ما يتيح للدخلاء بسهولة إنشاء رموز منتظمة لتحل محلها. واستناداً إلى البحث، تعمل برمجية «كريبتوشافلر» مع مجموعة واسعة من أكثر العملات المشفرة رواجاً، مثل بيتكوين وإثيريوم وزيكاش وداش ومونيرو وغيرها، بحسب البيان.
وسُجّلت أكثر نجاحات المجرمين الذين يقفون وراء البرمجية الخبيثة حتى الآن، في الهجمات التي شُنّت على محافظ بيتكوين، استناداً على ملاحظات من الباحثين المعنيين في كاسبرسكي لاب؛ إذ نجح أولئك المجرمون بسرقة 23 محفظة بيتكوين قيمتها تعادل نحو 140 ألف دولار، فيما تراوحت المبالغ الإجمالية في المحافظ الأخرى بين بضعة دولارات وعدة آلاف من الدولارات.
وقال سيرغي ياناكوڤسكي، محلل برمجيات خبيثة لدى كاسبرسكي لاب، إن العملات المشفرة «لم تعد تقنية بعيدة المنال»، مشيراً إلى أنها تدخل في حياتنا اليومية وتنتشر بنشاط في جميع أنحاء العالم، لتصبح أكثر رواجاً بين المستخدمين، وأكثر جاذبية للمجرمين في الوقت نفسه، وأضاف: «لاحظنا في الآونة الأخيرة زيادة في الهجمات الخبيثة التي تستهدف أنواعاً مختلفة من العملات المشفرة، ونحن نتوقع أن يستمر هذا التوجّه، لذلك، فإن على المستخدمين الذين يفكرون في الاستثمار بالعملات المشفرة التفكير في ضمان تحقيق الحماية المناسبة لها».
كذلك وجد الخبراء برمجية خبيثة أخرى تستهدف عملة مونيرو المشفرة تدعى DiscordiaMiner، وتم تصميمها لتحميل الملفات وتشغيلها من خادم بعيد. ووفقاً للأبحاث، ثمّة بعض أوجه التشابه في الأداء بين هذه البرمجية الخبيثة وبرمجية NukeBot، التي اكتُشفت في وقت سابق من هذا العام. وكما في حالة NukeBot، تم تشارك الشفرات المصدرية للبرمجية الخبيثة عبر منتديات القرصنة السرية.