هاكرز يهاجمون خبراء التشفير تحت غطاء مستثمرين مغامرين - ForkLog: العملات الرقمية، الذكاء الاصطناعي، التفرد، المستقبل

2026-03-03 12:09:44

# قام القراصنة بمهاجمة خبراء العملات الرقمية تحت غطاء مستثمرين مغامرين

كشف محللو Moonlock Lab عن هجوم واسع على مطوري Web3 وخبراء العملات الرقمية. يتنكر القراصنة كمستثمرين مغامرين ويبحثون عن ضحايا على LinkedIn.

يمدح المهاجمون مشاريع الخبراء ويعرضون التعاون. ثم يرسلون روابط لمؤتمرات فيديو مزيفة تُعدي أجهزة الكمبيوتر بفيروسات.

وهم الأعمال القانونية

أنشأ المهاجمون ثلاثة صناديق استثمارية وهمية للعملات الرقمية: SolidBit Capital، MegaBit و Lumax Capital. تظهر مواقع هذه المؤسسات بشكل موثوق. تحتوي على تاريخ الشركة، محفظة الاستثمارات، وقائمة المديرين. الصور الشخصية للموظفين مولدها شبكة عصبية.

المصدر: Moonlock Lab. يكتب المحتالون للخبراء من حسابات مزيفة. يتظاهرون بأنهم كبار المديرين في هذه الصناديق. يبدأ الحوار بمجاملة لإنجازات الضحية المهنية.

الإصابة عبر ClickFix

يسرع المهاجمون بتحويل التواصل إلى تطبيقات المراسلة ويدعون إلى مكالمة فيديو. تتلقى الضحية رابطًا إلى خدمة Calendly. يعيد العنوان توجيه المستخدم إلى نسخة مطابقة لموقع Zoom أو Google Meet أو خدمة مشابهة.

ظهور نافذة فحص Cloudflare على الشاشة. يطلب النظام وضع علامة وتأكيد أن المستخدم ليس روبوتًا. هذه تقنية ClickFix من القراصنة.

نقر المستخدم على الزر ينسخ بشكل غير ملحوظ رمزًا ضارًا إلى الحافظة. يعرض الموقع تعليمات متحركة مع مؤقت. يُطلب من المستخدم فتح الطرفية النظامية، ولصق النص المنسوخ، والضغط على Enter.

يقوم الرمز تلقائيًا بتحديد نظام التشغيل:

على Windows: يُشغل عملية مخفية مباشرة في الذاكرة العشوائية. لا يحفظ الفيروس ملفات على القرص الصلب، مما يسمح بتجاوز أنظمة الحماية؛
على macOS: يتحقق السكربت من وجود Python، ويقوم بتنزيل المكتبات الضرورية بشكل غير مرئي، ويتوطن في النظام.

المصدر: Moonlock Lab. في بعض الحالات، أرسل القراصنة للضحايا تطبيقًا ينسخ تمامًا واجهة Zoom الحقيقية على Mac. يحاكي البرنامج نافذة تسجيل الدخول، ويجمع كلمات المرور، ويرسلها إلى بوت Telegram الخاص بالمحتالين.

الاتصال بالهاكرز الكوريين الشماليين

عناوين المواقع المزيفة مسجلة باسم أندوليا بيجداش من بوسطن، الولايات المتحدة. يشك الخبراء في صحة هذا الشخص.

المصدر: Moonlock Lab. لاحظ الباحثون تطابق الأساليب مع طرق مجموعة UNC1069. هذه المجموعة تهاجم مشاريع العملات الرقمية منذ 2018. كانت شركة Mandiant سابقًا تربطها بكوريا الشمالية. يستخدم المهاجمون هياكل روابط ضارة مماثلة وسيناريوهات خداع عبر مكالمات فيديو مزيفة.

لحماية أنفسهم من الهجمات، ينصح الخبراء بالتحقق من تواريخ تسجيل النطاقات للمحادثين. لا تطلب الخدمات القانونية أبدًا من المستخدمين إدخال أوامر في الطرفية للتحقق من الهوية أو بدء البث. يمكن التعرف على الخداع عند الانتقال عبر الروابط الخارجية.

نذكر أنه في يونيو 2025، وقع شريك استثمار في شركة Hypersphere، مهدي فاروق، ضحية هجوم تصيد عبر مكالمة Zoom مزيفة.

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.