هجوم Silent Swap الجديد يستهدف مستخدمي العملات الرقمية عبر إضافة مزيفة تحمل اسم جوجل Notes، وتبدل عناوين المحافظ خفية أثناء التحويل.
ما هو هجوم Silent Swap وكيف يسرق العملات الرقمية؟
رصد باحثون في الأمن السيبراني حملة نشطة تعتمد على ما يعرف بـ crypto clipper، وهو نوع من البرمجيات الخبيثة يراقب الحافظة في الجهاز ويستبدل عنوان المحفظة المنسوخ بعنوان آخر يملكه المهاجم.
الخطورة هنا أن الضحية قد ينسخ عنوانا صحيحا، لكن عند لصقه داخل منصة التحويل يظهر عنوان مختلف من دون ملاحظة واضحة. وبما أن معاملات البلوكشين غير قابلة للتراجع غالبا، فإن الخسارة قد تكون نهائية خلال ثوان.
كيف تبدأ العدوى؟
تعتمد الحملة على ملفات تثبيت غير موقعة رقميا، بعضها مبني بـ .NET وأخرى بلغة Golang. بعد التشغيل، يجري تنزيل ملفات إضافية تمهد لتثبيت امتداد خبيث على المتصفحات المبنية على Chromium.
- الهدف الأساسي: استبدال عناوين محافظ العملات الرقمية
- طريقة العمل: مراقبة النصوص المنسوخة في الحافظة
- الواجهة المزيفة: إضافة باسم Google Notes
- نوع الإصابة: امتداد متصفح خبيث
كيف تُثبت الإضافة المزيفة على متصفحات كروميوم؟
بحسب ما تابع تيكبامين، لا تكتفي البرمجية بخداع المستخدم بصريا، بل تبحث أيضا عن متصفحات مثل Google Chrome وMicrosoft Edge وBrave وVivaldi، ثم تعدل ملفات الإعدادات الحساسة الخاصة بكل ملف شخصي.
وتشمل العملية إيقاف المتصفح بالقوة، ثم حقن الإضافة داخل النظام عبر تعديل ملفات Preferences وSecure Preferences. الأخطر أن البرمجية تعيد احتساب قيم الحماية المرتبطة بهذه الملفات، ما يجعل المتصفح يتعامل مع التعديل وكأنه شرعي.
- المتصفحات المستهدفة: كروم، إيدج، بريف، فيفالدي
- الملفات المعدلة: Preferences وSecure Preferences
- الأذونات المطلوبة: الحافظة، جميع الروابط، سجل التصفح
- العامل الحاسم: تفعيل وضع المطور في بعض الإصدارات الحديثة
لماذا يعد Silent Swap أكثر تطورا من هجمات clipper التقليدية؟
ما يميز Silent Swap عن كثير من هجمات clipper التقليدية هو استخدام أسلوب يسمى EtherHiding. هذه التقنية تستفيد من البلوكشين كوسيط مخفي للحصول على بيانات خادم التحكم والسيطرة، بدلا من تضمينها مباشرة داخل البرمجية.
عمليا، يستطيع المهاجم تحديث عنوان الخادم عبر تغيير قيمة في عقد ذكي، من دون الحاجة إلى إعادة نشر البرمجية الخبيثة من الصفر. هذا يمنح الحملة مرونة أعلى ويجعل تتبع بنيتها أكثر صعوبة.
لماذا هذا مهم للمستخدم العادي؟
لأن المهاجم لا يحتاج إلى سرقة كلمات المرور أو العبارات السرية في البداية. يكفيه انتظار أول عملية نسخ ولصق لعنوان محفظة حتى يعيد توجيه الأموال إلى حساب آخر بشكل فوري.
كيف تحمي نفسك من إضافة جوجل المزيفة وسرقة المحافظ؟
أفضل خطوة دفاعية هي التحقق اليدوي من أول وآخر 6 رموز في عنوان المحفظة قبل إرسال أي مبلغ، خصوصا في التحويلات الكبيرة. كما يجب تجنب تثبيت الإضافات من خارج المتاجر الرسمية وعدم منح أذونات واسعة لإضافات غير معروفة.
- راجع عنوان المحفظة كاملا قبل الإرسال
- لا تثبت إضافات من ملفات مجهولة أو غير موقعة
- عطل وضع المطور إذا لم تكن بحاجة إليه
- استخدم حلا أمنيا يرصد سلوك المتصفح والإضافات
- راقب أي طلب غير مبرر للوصول إلى الحافظة أو سجل التصفح
في النهاية، يثبت Silent Swap أن سرقة العملات الرقمية لم تعد تعتمد فقط على الروابط المزيفة، بل على التلاعب الهادئ داخل المتصفح نفسه. ولهذا ينصح تيكبامين بالتدقيق في الإضافات والأذونات وعنوان التحويل قبل أي معاملة مالية.