برمجية خبيثة تستخدم خدمة إعلانات جوجل وتنتحل صفة واتساب
كتب: مصطفي عبد السلام
أعلنت «بالو ألتو نتوركس» مؤخرا عن اكتشافها حملة هجومية منظمة ببرمجية خبيثة ترمي إلى توجيه العملات الرقمية بعيدا عن محافظ أصحابها المشروعين وتحويلها إلى محافظ خاضعة لسيطرة الجماعة الواقفة وراء الهجوم. ولتحقيق ذلك الغرض، عمدت الجماعة إلى استخدام نوع من البرمجيات الخبيثة التي تراقب محتوى الحافظة (برنامج النسخ والقص واللصق) ضمن أنظمة الضحايا بحثا عن أي مؤشرات عن وجود عملية تجري لنسخ عنوان عملات مشفرة.
وبمجرد استشعارها لوجود عنوان محفظة عملات مشفرة، تسعى هذا البرمجية الخبيثة – والتي أطلقت عليها بالو ألتو نتوركس تسمية “قصّاصة الكريبتو” CryptoClippy – إلى استبدال عنوان محفظة المستخدم الفعلي بعنوان بديل تابع للجماعة، متسببة بحمل المستخدم الضحية على إرسال عملات مشفرة دون علمه إلى الجماعة المهاجمة. ورصدت بالو ألتو نتوركس انتشار ضحايا هذه الحملة ضمن قطاعات التصنيع وخدمات تقنية المعلومات والعقارات، حيث يُرجح تأثر عناوين المحافظ الشخصية التابعة لأشخاص قاموا باستخدام أجهزة العمل من أجل تحويل عملات مشفرة.
ولغرض إصابة أجهزة المستخدمين بهذه البرمجية الخبيثة، قامت الجماعة في إطار هذه الحملة باستخدام كل من خدمة إعلانات جوجل (Google Ads) وأنظمة توزيع حركة المرور من أجل إعادة توجيه الضحايا نحو أسماء نطاقات إنترنت تنتحل صفة تطبيق واتساب المتاح عبر متصفح الإنترنت WhatsApp Web. وتعمدت الجماعة اتباع هذا الأسلوب للتأكد من أن المستخدمين حقيقيين. وبالنسبة للمستخدمين الذين جرى تحويلهم إلى زيارة هذه المواقع الخبيثة فإنه يجري فيها محاولة خداعهم لتنزيل ملف خبيث إما بصيغة ملف مضغوط .zip أو ملف تنفيذي .exe يؤدي بالمحصلة إلى إصابة جهاز المستخدم الضحية بالبرمجية الخبيثة.