شراء العملات المشفرة الأسواق العقود الفورية العقود الآجلةGOLD مدخرات مركز الأحداث

المزيد

مجموعة من مهاجمي العملات المشفرة أطلق عليها اسم "GreedyBear" قد سرقت أكثر من مليون دولار فيما يصفه الباحثون بأنه حملة على نطاق صناعي تشمل امتدادات متصفح خبيثة وبرمجيات ضارة ومواقع احتيال. وقد "أعادت GreedyBear تعريف سرقة الكريبتو على نطاق صناعي،" وفقًا لباحث في Koi Security...مجموعة من مهاجمي العملات المشفرة أطلق عليها اسم "GreedyBear" قد سرقت أكثر من مليون دولار فيما يصفه الباحثون بأنه حملة على نطاق صناعي تشمل امتدادات متصفح خبيثة وبرمجيات ضارة ومواقع احتيال. وقد "أعادت GreedyBear تعريف سرقة الكريبتو على نطاق صناعي،" وفقًا لباحث في Koi Security...

مجموعة احتيال التشفير GreedyBear تسرق أكثر من مليون دولار باستخدام امتدادات مزيفة وبرمجيات خبيثة

المؤلف: Crypto.news

المصدر: Crypto.news

2025/08/08 15:59

4 دقيقة قراءة

للحصول على ملاحظات أو استفسارات بشأن هذا المحتوى، يرجى التواصل معنا على crypto.news@mexc.com

سرقت مجموعة من مهاجمي العملات المشفرة تُدعى "GreedyBear" أكثر من مليون دولار فيما يصفه الباحثون بأنه حملة على نطاق صناعي تشمل امتدادات متصفح خبيثة وبرامج ضارة ومواقع احتيالية.

ملخص

وفقًا للتقارير، سرقت GreedyBear أكثر من مليون دولار من خلال امتدادات خبيثة وبرامج ضارة ومواقع احتيالية.
تم تحديد أكثر من 650 أداة خبيثة تستهدف مستخدمي محافظ العملات المشفرة في الحملة.
وجد الباحثون علامات على استخدام رمز تم إنشاؤه بواسطة الذكاء الاصطناعي لتوسيع نطاق الهجمات وتنويعها.

قامت GreedyBear بـ "إعادة تعريف سرقة التشفير على نطاق صناعي"، وفقًا لباحث الأمن في Koi توفال أدموني، الذي قال إن نهج المجموعة يمزج بين عدة طرق هجوم مثبتة في عملية منسقة واحدة.

بينما تتخصص معظم المجموعات الإجرامية الإلكترونية في متجه واحد، مثل الاحتيال الإلكتروني أو برامج الفدية أو الامتدادات المزيفة، فقد سعت GreedyBear إلى تنفيذ الثلاثة في وقت واحد على نطاق واسع.

تأتي هذه النتائج بعد أيام فقط من إبلاغ شركة أمن البلوكتشين PeckShield عن ارتفاع حاد في جرائم التشفير في يوليو، حيث سرق المهاجمون ما يقرب من 142 مليون دولار عبر 17 حادثة رئيسية.

امتدادات المتصفح الخبيثة

وجد تحقيق Koi Security أن حملة GreedyBear الحالية قد نشرت بالفعل أكثر من 650 أداة خبيثة تستهدف مستخدمي محافظ العملات المشفرة.

وأشار أدموني إلى أن هذا يمثل تصعيدًا من حملة المجموعة السابقة "Foxy Wallet"، التي كشفت في يوليو عن 40 امتدادًا خبيثًا لـ Firefox.

تستخدم المجموعة تقنية يطلق عليها Koi "Extension Hollowing" لتجاوز فحوصات السوق وكسب ثقة المستخدم.

يقوم المشغلون أولاً بنشر امتدادات Firefox تبدو غير ضارة - مثل معقمات الروابط أو برامج تنزيل الفيديو - تحت حسابات ناشر جديدة. ثم يتم تعزيزها بمراجعات إيجابية مزيفة قبل تحويلها إلى أدوات تنتحل صفة المحفظة تستهدف MetaMask وTronLink وExodus وRabby Wallet.

بمجرد تسليحها، تقوم الامتدادات بجمع بيانات الاعتماد مباشرة من حقول إدخال المستخدم وإرسالها إلى خادم القيادة والتحكم الخاص بـ GreedyBear.

برامج التشفير الضارة

بعيدًا عن الامتدادات، وجد الباحثون ما يقرب من 500 ملف تنفيذي خبيث لنظام Windows مرتبط بنفس البنية التحتية.

تمتد هذه الملفات عبر عائلات متعددة من البرامج الضارة، بما في ذلك سارقي بيانات الاعتماد مثل LummaStealer، وأنواع برامج الفدية التي تشبه Luca Stealer، وأحصنة طروادة عامة من المحتمل أن تعمل كمحملات لحمولات أخرى.

لاحظت Koi Security أن العديد من هذه العينات تظهر في خطوط توزيع البرامج الضارة المستضافة على مواقع الويب باللغة الروسية التي تقدم برامج مكسورة أو مقرصنة أو "معاد تعبئتها". لا توسع طريقة التوزيع هذه من وصول المجموعة إلى المستخدمين الأقل وعيًا بالأمان فحسب، بل تسمح لهم أيضًا بزرع العدوى خارج جمهور التشفير الأصلي.

كما وجد الباحثون عينات من البرامج الضارة التي أظهرت قدرات معيارية، مما يشير إلى أن المشغلين يمكنهم تحديث الحمولات أو تبديل الوظائف دون نشر برامج ضارة جديدة تمامًا.

خدمات التشفير الاحتيالية

بالتوازي مع عمليات البرامج الضارة هذه، تحتفظ GreedyBear بشبكة من المواقع الاحتيالية التي تنتحل منتجات وخدمات العملات المشفرة. تم تصميم هذه المواقع لجمع المعلومات الحساسة من المستخدمين غير المشتبه بهم.

وجدت Koi Security صفحات هبوط مزيفة تعلن عن محافظ الأجهزة، وخدمات إصلاح المحافظ المزيفة التي تدعي إصلاح الأجهزة الشائعة مثل Trezor. كما تم العثور على صفحات أخرى تروج لمحافظ رقمية مزيفة أو أدوات تشفير، جميعها بتصميم احترافي.

Crypto scam group GreedyBear steals over $1m using fake extensions and malware - 1

على عكس مواقع الاحتيال الإلكتروني التقليدية التي تقلد صفحات تسجيل الدخول للتبادل، تتظاهر هذه الاحتيالات بأنها عروض منتجات أو خدمات دعم. يتم استدراج الزوار لإدخال عبارات استرداد المحفظة أو المفاتيح الخاصة أو معلومات الدفع أو بيانات حساسة أخرى، والتي يقوم المهاجمون بعد ذلك بتسريبها للسرقة اللاحقة أو احتيال بطاقات الائتمان.

وجد تحقيق Koi أن بعض هذه النطاقات لا تزال نشطة وتجمع البيانات، بينما بدا البعض الآخر خاملاً ولكن جاهزًا للتنشيط في الحملات المستقبلية.

عقدة مركزية

علاوة على ذلك، وجدت Koi أن جميع النطاقات المتصلة بامتدادات GreedyBear والبرامج الضارة ومواقع الاحتيال تقريبًا تحل إلى عنوان IP واحد — 185.208.156.66.

Crypto scam group GreedyBear steals over $1m using fake extensions and malware - 2

يعمل هذا الخادم كمركز قيادة وتحكم للعملية، حيث يدير جمع بيانات الاعتماد وتنسيق برامج الفدية واستضافة المواقع الاحتيالية. من خلال توحيد العمليات على بنية تحتية واحدة، تتمكن المجموعة من تتبع الضحايا وضبط الحمولات وتوزيع البيانات المسروقة بسرعة وكفاءة أكبر.

وفقًا لأدموني، كانت هناك أيضًا علامات على "عناصر تم إنشاؤها بواسطة الذكاء الاصطناعي" وجدت داخل رمز الحملة، مما يجعلها "أسرع وأسهل من أي وقت مضى للمهاجمين لتوسيع نطاق العمليات وتنويع الحمولات والتهرب من الكشف."

"هذا ليس اتجاهًا عابرًا - إنه الوضع الطبيعي الجديد. مع تسليح المهاجمين أنفسهم بذكاء اصطناعي ذو قدرات متزايدة، يجب على المدافعين الرد بأدوات أمنية واستخبارات متقدمة بنفس القدر،" قال أدموني.

إخلاء مسؤولية: المقالات المُعاد نشرها على هذا الموقع مستقاة من منصات عامة، وهي مُقدمة لأغراض إعلامية فقط. لا تُظهِر بالضرورة آراء MEXC. جميع الحقوق محفوظة لمؤلفيها الأصليين. إذا كنت تعتقد أن أي محتوى ينتهك حقوق جهات خارجية، يُرجى التواصل عبر البريد الإلكتروني crypto.news@mexc.com لإزالته. لا تقدم MEXC أي ضمانات بشأن دقة المحتوى أو اكتماله أو حداثته، وليست مسؤولة عن أي إجراءات تُتخذ بناءً على المعلومات المُقدمة. لا يُمثل المحتوى نصيحة مالية أو قانونية أو مهنية أخرى، ولا يُعتبر توصية أو تأييدًا من MEXC.