يمكن للمتسللين سرقة عناوين محفظة العملات المشفرة إذا تم نسخها إلى الحافظة

برامج ضارة جديدة تعتمد على البريد الإلكتروني يطلق عليها اسم ComboJack استهداف متصفحي الويب اليابانيين والأمريكيين لسرقة العملة المشفرة أثناء المعاملات. بمجرد تثبيتها وتواجدها في الخلفية، تستحوذ البرامج الضارة على عنوان محفظة العملة المشفرة الطويلة للضحية والمخزنة في حافظة Windows. نظرًا لطولها الشديد، يقوم العديد من المستخدمين ببساطة بنسخ ولصق سلسلة الأحرف هذه، وذلك عندما يهاجم ComboJack.

اكتشفه الباحثون في Palo Alto Networks، وهو عبارة عن نسخة مختلفة من أداة سرقة العملات المشفرة تسمى CryptoJack. فهو يلتقط عنوان محفظة العملة المشفرة الخاصة بالضحية والمحفوظة في الحافظة ويستبدله بعنوان محفظة المتسلل. وبالتالي، يعتقد الضحايا أنهم يقومون بتحويل العملة الرقمية إلى محافظهم الافتراضية الشخصية عندما وبدلاً من ذلك، يقومون دون قصد بلصق وجهة مختلفة في المعاملة قبل ذلك انتهاء.

كانت CryptoShuffler أول برنامج ضار يستخدم عامل السرقة هذا في عام 2017، ولكنه ركز فقط على Bitcoin. في عام 2018، لم يصل ComboJack إلى الهدف فحسب بيتكوين مستثمرين ولكن ايثريومو Litecoin و Monero والعديد من العملات الرقمية الأخرى. ولكن يمكن تجنب المسار الذي تسلكه هذه البرامج الضارة بمجرد عدم فتح مرفق عبر البريد الإلكتروني من مصادر غير موثوقة.

وبحسب التقرير، يتلقى الضحايا رسائل بريد إلكتروني بخصوص جواز سفر مفقود. تطلب الرسالة المشبوهة من الضحية الاطلاع على المرفق الذي يُفترض أنه جواز سفر ممسوح ضوئيًا بتنسيق PDF لأغراض تحديد الهوية. ولكن بمجرد أن يفتح الضحايا ملف PDF، يظهر لهم سطر واحد لفتح مستند مضمن. يوجد داخل هذا الملف الثانوي كائن بعيد مضمن يقوم بالهجوم ثغرة أمنية في نظام التشغيل Windows.

تنص قاعدة بيانات Microsoft على أنه "يوجد ارتفاع في ثغرة الامتيازات عندما يتعامل DirectX بشكل غير صحيح مع الكائنات الموجودة في الذاكرة". "يمكن للمهاجم الذي نجح في استغلال هذه الثغرة الأمنية تشغيل تعليمات برمجية عشوائية في وضع kernel. ويمكن للمهاجم بعد ذلك تثبيت البرامج؛ عرض البيانات أو تغييرها أو حذفها؛ أو إنشاء حسابات جديدة تتمتع بحقوق المستخدم الكاملة.

يقوم الكائن البعيد المضمن بتنزيل ملف من جزأين، جزء واحد يحتوي على ملف قابل للتنفيذ ذاتي الاستخراج، والجزء الثاني يحتوي على مكونات محمية بكلمة مرور لإنشاء الحمولة النهائية وتثبيتها: كومبوجاك. تستخدم البرامج الضارة بعد ذلك أداة Windows مدمجة لمنحها امتيازات على مستوى النظام، وتقوم بتحرير السجل للتأكد من أنه يظل قيد التشغيل في الخلفية ويدخل في حلقة لا نهائية. يقوم ComboJack بعد ذلك بالتحقق من حافظة النظام كل نصف ثانية بحثًا عن عنوان محفظة العملة المشفرة.

فلماذا لا يقوم مستخدمو العملات المشفرة بإدخال عناوين محفظتهم يدويًا؟ لأنه ألم. يبلغ طول عناوين Ethereum 42 حرفًا بينما تستخدم Bitcoin 34 حرفًا. الأطول على الأرجح هو Monero، والذي يعتمد على العناوين التي يتراوح عدد أحرفها بين 95 و106. وهذا هو السبب الذي يجعل المستخدمين عادة نسخ و لصق عناوينهم، والتي هي بمثابة منجم ذهب افتراضي للمتسللين.

في حين أن اقتراح إدخال العناوين يدويًا أثناء المعاملات أمر غير وارد، فإن فتح الملفات المرفقة برسائل البريد الإلكتروني المرسلة من أطراف غير معروفة يعد فكرة سيئة للغاية. في هذه الحالة، يبدأ الدليل الكبير بالرسالة الفعلية المكتوبة بشكل سيء بالإضافة إلى مرفقها المشبوه. ولكن حتى بعد فتح ملف PDF، فإن طلب فتح ملف آخر يجب أن يكون علامة حمراء كبيرة أخرى.

توصيات المحررين

• أفضل محافظ البيتكوين
• محفظة العملات المشفرة هذه المخصصة للأطفال ليست غبية كما تبدو
• يقوم المتسلل بتشغيل "Doom" على محفظة BitFi Bitcoin "غير القابلة للاختراق" الخاصة بـ John McAfee

ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.