حملة "النسخ Clipper" الجديدة: كيف تخدعك التقييمات المزيفة والذكاء الاصطناعي لتسرق عملاتك الرقمية

حملةClipper" الجديدة: كيف تحول الثقة إلى سرقة"

منذ أسابيع، رصد باحثون أمنيون حملة خبيثة متطورة تستهدف أصحاب العملات الرقمية عبر تقنية "النسخ Clipper" (Clipboard Hijacker)، التي تحل محل عناوين المحافظ الرقمية في الحافظة (Clipboard) الخاصة بالضحية دون علمه. لكن ما يميز هذه الحملة ليس فقط التقنية الخبيثة نفسها، بل الطريقة الذكية التي تستخدمها لخداع الضحايا، من خلال بناء سمعة مزيفة عبر منصات موثوقة مثل مواقع الأخبار الشهيرة، ومنصات تطوير الأكواد مثل GitHub، وحتى منصة تحليل الملفات الفيروسية VirusTotal. بدلاً من الاعتماد على طرق تقليدية، استغل المهاجمون نفس الاستراتيجيات التي تستخدمها الشركات المشروعة لبناء الثقة، مثل التقييمات المزيفة، والحسابات الوهمية، وحتى التعليقات المدفوعة على VirusTotal، مما جعل من الصعب على الضحايا اكتشاف الخداع.

الهدف النهائي لهذه الحملة هو توزيع برنامج خبيث مخفي داخل أدوات وهمية مثل "سنيبر بوتات" (Sniper Bots) الخاصة بشبكة Solana، أو أدوات توقع ألعاب "Pump.fun" Crash-Game، وهي أدوات تستهدف أصحاب العملات الرقمية الذين يبحثون عن طرق سريعة للربح. بمجرد تثبيت هذه الأدوات على جهاز الضحية، يبدأ البرنامج الخبيث بمراقبة الحافظة باستمرار، وعندما يكتشف وجود عنوان محفظة رقمية (مثل Bitcoin أو Ethereum)، يستبدله بعنوان آخر تابع للمهاجم، مما يؤدي إلى تحويل الأموال بشكل غير مرئي إلى حسابه. هذا النوع من الهجمات لا يقتصر على نظام تشغيل معين، حيث تم تصميم البرنامج الخبيث ليعمل على كل من نظامي Windows وmacOS، مما يزيد من نطاق تأثيره.

منصة WordPress المزيفة: المركز الرئيسي للخداع

في قلب هذه الحملة توجد صفحة ويب مزيفة تم بناؤها باستخدام منصة WordPress، تعمل كمركز رئيسي للتوزيع والترويج. هذه الصفحة لا تبدو مجرد موقع عادي، بل تم تصميمها بعناية لت imitation مواقع الشركات المشروعة، مع روابط تحميل تبدو موثوقة. من هذه الصفحة، يتم توجيه الضحايا إلى مستودعات GitHub وSourceForge، حيث يتم نشر الروابط الخبيثة تحت أسماء مستودعات تبدو مشروعة مثل "Solana Sniper Bot" أو "Pump.fun Predictor". هذه المستودعات مدعومة بحسابات وهمية على GitHub، بعضها يمتلك أكثر من 146 نجمة و62 عملية تفرع (Fork)، مما يضفي عليها مظهر المشروعات المشهورة والموثوقة.

على منصة SourceForge، وصلت أرقام التحميلات إلى 44,485 عملية، وهو رقم مثير للريبة نظرًا لأن النسخة المتاحة لا تدعم إلا أنظمة Windows وmacOS. تشير التحليلات إلى أن هذا الرقم الكبير قد تم تضخيمه بشكل مصطنع باستخدام مزارع أجهزة Android، حيث تم تسجيل 37,460 عملية تحميل من أجهزة Android رغم عدم وجود دعم لهذه الأنظمة. هذا التضليل الواضح هو جزء من استراتيجية أوسع تهدف إلى خلق وهم الثقة من خلال أرقام تحميلات تبدو ضخمة، مما يدفع الضحايا إلى الوثوق بالمحتوى الخبيث دون شك.

حسابات وهمية ومنصات متعددة: بناء سمعة مزيفة

لم يقتصر خداع المهاجمين على منصة SourceForge فحسب، بل امتد إلى منصات أخرى مثل YouTube، حيث تم إنشاء قناة مزيفة تقدم دروسًا تعليمية مزيفة حول كيفية استخدام هذه الأدوات. هذه الدروس، التي تبدو وكأنها من مصادر موثوقة، تهدف إلى إقناع الضحايا بجدوى هذه الأدوات، مما يزيد من احتمالية تحميلها. بالإضافة إلى ذلك، تم إنشاء حسابات وهمية على GitHub، بعضها نشط منذ فترة طويلة، بهدف نشر مستودعات خبيثة وتضخيم عدد النجوم والتفرعات من خلال حسابات آلية أو مجموعات منظمة.

أما على منصة VirusTotal، وهي منصة شهيرة لتحليل الملفات المشبوهة، فقد تم رصد نشاط غير عادي. حيث قام المهاجمون بإنشاء حسابات وهمية قامت بتحميل الملفات الخبيثة ثم قامت بتسميتها "آمنة" من خلال تقييمات إيجابية وتعليقات مدفوعة، مما أدى إلى تضليل النظام وجعل الملفات تبدو مشروعة. هذه التقنية، المعروفة باسم "الشبكات الشبح" (Ghost Networks)، تهدف إلى استغلال ثقة المستخدمين في تقييمات المنصات المشهورة، مما يجعلهم أقل شكًا عند تحميل الملفات.

كيف تعمل تقنية "النسخ Clipper"؟

تقنية Clipper ليست جديدة، لكنها أصبحت أكثر تطورًا في هذه الحملة. بمجرد تثبيت البرنامج الخبيث على جهاز الضحية، يبدأ بمراقبة الحافظة (Clipboard) باستمرار، وهي ميزة متاحة في أنظمة التشغيل تسمح بنسخ النصوص أو العناوين ولصقها. عندما يكتشف البرنامج وجود عنوان محفظة رقمية (مثل عنوان Bitcoin أو Ethereum)، يستبدله بعنوان آخر تابع للمهاجم، والذي يتم تخزينه في قائمة داخلية hard-coded. هذا الاستبدال يحدث بشكل فوري ودون أي علامة واضحة، مما يجعل الضحية يعتقد أنه قام بنسخ العنوان الصحيح، بينما في الواقع، يتم تحويل الأموال إلى حساب المهاجم.

البرنامج الخبيث مصمم ليعمل على أنظمة متعددة، بما في ذلك Windows وmacOS، مما يزيد من نطاق تأثيره. كما أنه قادر على تجنب اكتشافه من خلال تقنيات مثل التشفير الخفيف أو استخدام أسماء ملفات تبدو مشروعة، مثل "solanabot.exe" أو "pumpfun_predictor.dmg". هذا التصميم يجعل من الصعب على برامج مكافحة الفيروسات اكتشافه، خاصة إذا كان ملفًا تم تحميله من مصدر يبدو موثوقًا بفضل التقييمات المزيفة.

من هم الضحايا المستهدفون؟

الضحايا الرئيسيون لهذه الحملة هم أصحاب العملات الرقمية الذين يبحثون عن طرق سريعة للربح، مثل مستخدمي منصات Solana أو لاعبي ألعاب "Pump.fun" Crash-Game. هؤلاء الضحايا غالبًا ما يكونون على استعداد لتجربة أدوات وخدمات جديدة تعدهم بربح سريع، مما يجعلهم أهدافًا سهلة للمهاجمين. بالإضافة إلى ذلك، فإن استخدام منصات موثوقة مثل sites news مشهورة أو حسابات وهمية على GitHub يزيد من احتمالية نجاح الحملة، حيث أن الضحايا يميلون إلى الوثوق بهذه المصادر دون شك.

كما أن أصحاب المحافظ الرقمية الذين يستخدمون محافظ ساخنة (Hot Wallets) أو الذين يقومون بنسخ العناوين بشكل متكرر هم أكثر عرضة لهذه الهجمات. هذا لأنهم يتعاملون مع عناوين المحفظة بشكل متكرر، مما يزيد من فرص حدوث استبدال خبيث. بالإضافة إلى ذلك، فإن أصحاب العملات الرقمية الذين يشاركون في أنشطة مثل التداول أو الألعاب عبر الإنترنت هم أيضًا أهداف محتملة، حيث أنهم غالبًا ما يتعاملون مع عناوين محفظة متعددة وقد لا ينتبهون إلى الاستبدالات الصغيرة.

كيف يمكن حماية نفسك من هذه الحملة؟

أول خطوة لحماية نفسك هي التأكد من أن جميع الأدوات والبرامج التي تقوم بتحميلها تأتي من مصادر موثوقة. تجنب تحميل البرامج من روابط غامضة أو صفحات ويب غير معروفة، حتى إذا بدت هذه الروابط مشروعة من خلال تقييمات مزيفة. كما ينصح دائمًا باستخدام برامج مكافحة الفيروسات المحدثة، والتي يمكنها اكتشاف مثل هذه البرامج الخبيثة من خلال سلوكها المشبوه، مثل مراقبة الحافظة دون سبب واضح.

ثانيًا، يجب عليك دائمًا التحقق من عناوين المحفظة الرقمية قبل إرسال الأموال. يمكنك القيام بذلك عن طريق مقارنة أول 6 أحرف من العنوان مع العنوان الأصلي، أو استخدام ميزة التحقق من العنوان في محفظتك الرقمية إذا كانت مدعومة.此外، من المهم أيضًا التحقق من المصادر التي تحصل منها على الأدوات، مثل GitHub أو SourceForge. ابحث عن الحسابات التي لها تاريخ طويل من النشاط الموثوق، وتجنب الحسابات التي تم إنشاؤها حديثًا أو التي لديها تقييمات مشبوهة.

أخيرًا، كن حذرًا من الدروس التعليمية أو التقييمات التي تبدو مفرطة في الإيجابية. إذا كانت هناك تقييمات أو تعليقات تبدو وكأنها مدفوعة أو غير واقعية، فمن المحتمل أنها جزء من حملة تضليل. كما ينصح دائمًا بإجراء بحث مستقل حول الأداة أو الخدمة قبل تحميلها، وذلك من خلال قراءة المراجعات من مصادر متعددة والتأكد من عدم وجود تقارير سابقة حول وجود برامج خبيثة فيها.

ما الذي يمكن أن نتوقعه في المستقبل؟

من المرجح أن تستمر مثل هذه الحملات في التطور والتكيف مع تقنيات جديدة، خاصة مع تزايد استخدام العملات الرقمية والأدوات المرتبطة بها. يمكن للمهاجمين الاستفادة من تقنيات الذكاء الاصطناعي لتوليد تقييمات مزيفة أكثر واقعية أو حتى إنشاء حسابات وهمية تبدو أكثر مصداقية.此外، من المحتمل أن يستهدف المهاجمون منصات جديدة أو يستغلوا ثغرات في منصات التقييم الحالية، مثل VirusTotal، لجعل برامجهم الخبيثة تبدو أكثر أمانًا.

من جانب آخر، من المتوقع أن تزيد منصات مثل GitHub وSourceForge من جهودها للكشف عن الحسابات الوهمية وتضخيم الأرقام المزيفة، من خلال تحسين خوارزميات الكشف عن الأنشطة المشبوهة. كما يمكن أن تلجأ الشركات الأمنية إلى تطوير تقنيات جديدة للكشف المبكر عن مثل هذه الحملات، مثل تحليل سلوك الحسابات أو استخدام الذكاء الاصطناعي لاكتشاف الأنماط الخبيثة.

الخلاصة: الثقة هي السلاح الجديد للقراصنة

هذه الحملة تمثل تحولًا في أساليب القراصنة، حيث لم يعودوا يعتمدون على رسائل البريد الإلكتروني الخبيثة أو الروابط المزيفة فحسب، بل أصبحوا يستغلون نفس الاستراتيجيات التي تستخدمها الشركات المشروعة لبناء الثقة. من خلال تضخيم الأرقام المزيفة، وإنشاء حسابات وهمية، وحتى خداع منصات تحليل الملفات، أصبح من الصعب على الضحايا اكتشاف الخداع. ومع ذلك، فإن الوعي والمعرفة هما أفضل سلاح ضد مثل هذه الحملات. من خلال التحقق من المصادر، واستخدام أدوات الحماية، والحذر من التقييمات المزيفة، يمكنك تقليل فرص الوقوع ضحية لهذه الهجمات.

في النهاية، يجب على مستخدمي العملات الرقمية وأصحاب المحافظ الرقمية أن يكونوا دائمًا على دراية بالمخاطر المحيطة بهم، وأن يتخذوا خطوات استباقية لحماية أصولهم الرقمية. فالتكنولوجيا تتطور باستمرار، والمهاجمون يصبحون أكثر ذكاءً، لكن الوعي والمعرفة هما المفتاح لاستخدام هذه التكنولوجيا بأمان.