يحذّر تقرير أمني من نشاط UNC1069 الذي يستهدف شركات العملات الرقمية بخدع اجتماعية لسرقة بيانات ويندوز وماك، عبر تليجرام وروابط اجتماعات وهمية.
لماذا يستهدف UNC1069 شركات العملات الرقمية؟
تُظهر المتابعة أن المجموعة الناشطة منذ 2018 تعتمد على انتحال شخصيات استثمارية على تليجرام لتحقيق مكاسب مالية. ووفقاً لمتابعات تيكبامين، فإنها تستغل الثقة في الشبكات المهنية لاستدراج الضحايا.
ومنذ 2023 اتسع نطاق الاستهداف من التمويل التقليدي إلى منظومة Web3، مع تركيز على منصات التداول المركزية وشركات البرمجيات المالية. هذا التحول يرفع المخاطر أمام فرق التطوير والإدارة العليا.
من هم الضحايا الأكثر عرضة؟
- منصات تداول مركزية (CEX) وإدارات الامتثال.
- مطورو البرمجيات في المؤسسات المالية.
- شركات التكنولوجيا العالية وسلاسل التوريد.
- صناديق رأس المال المغامر ومديرو المحافظ.
كيف تُستخدم خدع الذكاء الاصطناعي في الهجوم؟
تعتمد الحملة على محتوى مُولّد بالـالذكاء الاصطناعي مثل رسائل مصقولة وصور وفيديوهات ديب فيك توحي بالموثوقية. هذه المواد تُستخدم لتقوية سردية المستثمرين الوهميين وإقناع الضحية بحضور الاجتماع.
وتشير مؤشرات إلى استعمال أدوات توليدية شهيرة لإعداد نصوص تتعلق بالعملات الرقمية ومشاريع الاستثمار، ما يرفع معدل الاستجابة ويُصعّب التمييز بين الحقيقي والمزيّف.
سلسلة الهندسة الاجتماعية خطوة بخطوة
تبدأ سلسلة الهندسة الاجتماعية بالتواصل عبر تليجرام بانتحال مستثمرين، وأحياناً باستخدام حسابات مخترقة لرواد أعمال حقيقيين. بعدها يتم حجز اجتماع مدته 30 دقيقة عبر Calendly لتثبيت المصداقية.
- رسالة أولى بمقدمة مهنية وروابط ملف شخصي مزيف.
- دعوة اجتماع تحمل اسم شركة استثمار معروفة.
- تمرير رابط اجتماع مزيف أو زر تنزيل.
- تنفيذ أسلوب ClickFix لإقناع الضحية بتنفيذ أوامر.
- تنزيل ملف خبيث يستهدف ويندوز وماك.
الرابط يقود إلى موقع ينتحل منصة Zoom بعنوان مشابه للنطاق الرسمي، وغالباً يُخفى داخل ميزة الروابط في تليجرام. عند فتحه تُعرض تعليمات لتثبيت مكوّن يبدو كأنه SDK، لكنه يفتح الباب لتثبيت برمجيات خبيثة.
ما هي البرمجيات الخبيثة المستخدمة في الحملة؟
في أحدث الحوادث تم رصد نشر ما يصل إلى سبع عائلات خبيثة مختلفة، بعضها جديد بالكامل مثل SILENCELIFT وDEEPBREATH وCHROMEPUSH. الهدف النهائي غالباً هو سرقة مفاتيح المحافظ وتحويل الأصول.
وتستهدف الأدوات أنظمة ويندوز وماك عبر مراحل متعددة تشمل التحميل الصامت وجمع بيانات المتصفح والجلـسات. كما يظهر استخدام باب خلفي باسم BIGMACHO يُقدَّم كحزمة تطوير Zoom.
عائلات بارزة في الهجمات الأخيرة
- SILENCELIFT: أداة تحميل صامتة متعددة المراحل.
- DEEPBREATH: تجمع معلومات النظام وتجهز الاتصال الخلفي.
- CHROMEPUSH: يركز على متصفحات Chromium وسرقة الجلسات.
- BIGMACHO: باب خلفي مُقنع كحزمة Zoom SDK.
- أدوات مساندة لجمع كلمات المرور وبيانات المتصفح.
كيف تحمي شركات العملات الرقمية نفسها؟
تزداد المخاطر على فرق الأمن في شركات العملات الرقمية بسبب اعتماد العمل عن بعد واجتماعات الفيديو. لذلك يصبح التحقق من الهوية والنطاقات أمراً حاسماً قبل أي تفاعل.
إجراءات الاستجابة السريعة وتقارير الحوادث الداخلية تقلل خسائر الاختراق وتمنع إعادة الاستخدام. كما يساعد الفصل بين بيئات التطوير والإنتاج على تقليل انتشار البرمجيات الخبيثة.
خطوات عملية للحد من الخطر
- اعتماد التحقق الثنائي لجميع حسابات تليجرام والبريد.
- رفض أي رابط اجتماع لا يستخدم النطاق الرسمي لZoom.
- تدريب الموظفين على كشف الديب فيك ورسائل الاستثمار الوهمية.
- مراقبة الأجهزة ببرمجيات كشف التسلل وتحديثها باستمرار.
- عزل الأجهزة الجديدة وفحص أي ملفات SDK قبل التنفيذ.
في النهاية، يظل وعي الفرق هو خط الدفاع الأول مع تطور أساليب الخداع. وتؤكد تيكبامين أن متابعة مؤشرات الاختراق المتعلقة بـ UNC1069 ضرورة لتقليل الخسائر المالية.
