محققان Check Point از شناسایی یک کمپین پیچیده توزیع بدافزار خبر دادهاند که در آن یک عامل تهدید ناشناس با استفاده از پستهای تبلیغاتی و پولی در وبسایتهای خبری معتبر، زیرساختی گسترده برای اعتبارسازی جعلی و ترویج بدافزار کریپتو کلیپر (Crypto Clipper) ایجاد کرده است. این مهاجم با بهرهگیری از یک صفحه فیشینگ اختصاصی مبتنی بر وردپرس، حسابهای کاربری جعلی در گیتهاب (GitHub) و سورسفورج (SourceForge)، یک کانال یوتیوب و فعالیت هماهنگ در پلتفرم ویروستوتال (VirusTotal) تلاش میکند فایلهای مخرب خود را بهعنوان ابزارهای قابل اعتماد معرفی کرده و اعتماد کاربران را جلب کند.
بررسیها نشان میدهد هدف نهایی این عملیات، توزیع بدافزار کریپتو کلیپر در قالب رباتهای معاملاتی رمزارز، ابزارهای مرتبط با Solana و Pump.fun و نرمافزارهای پیشبینی بازیهای شرطبندی است. مهاجمان با بهرهگیری از مهندسی اجتماعی (Social Engineering) و اعتبارسازی جعلی، تلاش میکنند ابزارهای مخرب خود را بهعنوان نرمافزارهای معتبر و قابل اعتماد معرفی کرده و کاربران را به دانلود آنها ترغیب کنند.
استفاده از تکنیکهای بازاریابی برای توزیع کریپتو کلیپر
بررسیهای Check Point نشان میدهد عامل تهدید پشت این کمپین برای ترویج ابزار مخرب خود از همان روشهایی استفاده کرده که برندهای قانونی برای جلب توجه کاربران و افزایش محبوبیت محصولات خود به کار میگیرند. هدف از این رویکرد، کاهش تردید کاربران و افزایش احتمال دانلود بدافزار کریپتو کلیپر است.
به گفته محققان، مهاجم با ایجاد ظاهری معتبر برای ابزارهای مخرب خود، تلاش میکند اعتماد کاربران را جلب کرده و آنها را به دانلود این فایلها ترغیب کند. این اقدامات شامل افزایش مصنوعی تعداد دانلودها، انتشار هماهنگ نظرات و امتیازهای پنجستاره، تولید ویدئوهای آموزشی به سبک اینفلوئنسرها و تبلیغ ابزارها در پلتفرمهایی است که کاربران معمولاً به آنها اعتماد دارند.
محققان Check Point تأکید میکنند نتیجه این فعالیتها شکلگیری یک شبکه اعتبارسازی جعلی است که تقریباً تمام پلتفرمهایی را در بر میگیرد که کاربران پیش از دانلود یک نرمافزار برای بررسی اعتبار آن به آنها مراجعه میکنند. در عمل، قربانی پیش از دانلود فایل با حجم زیادی از نشانههای مثبت و ظاهراً معتبر روبهرو میشود که همگی برای پنهان کردن ماهیت مخرب بدافزار طراحی شدهاند.
سازوکار بدافزار در سرقت رمزارز
هدف نهایی این کمپین، توزیع یک رباینده کلیپبورد رمزارز (Cryptocurrency Clipboard Hijacker) است که در قالب رباتهای اسنایپر (Sniper Bots) مرتبط با Solana و Pump.fun و همچنین ابزارهای پیشبینی بازیهای شرطبندی پنهان شده است. انتخاب این موارد نشان میدهد دارندگان داراییهای رمزارزی و کاربرانی که به دنبال راهکارهای میانبر برای کسب سود سریع از معاملات یا شرطبندی آنلاین هستند، اهداف اصلی این عملیات محسوب میشوند.
این بدافزار که با زبان برنامهنویسی Rust توسعه یافته است، سیستمعاملهای ویندوز (Windows) و مکاواس (macOS) را هدف قرار میدهد و بهصورت مداوم محتوای کلیپبورد را برای شناسایی الگوهای مرتبط با آدرس کیف پولهای رمزارزی مانیتور میکند.
به محض شناسایی یک آدرس کیف پول، بدافزار آن را با آدرسی جایگزین میکند که مهاجم از پیش در یک فهرست هاردکدشده (Hard-Coded) درون بدافزار قرار داده است. در نتیجه، هنگام انجام تراکنش، دارایی دیجیتال قربانی بدون اطلاع او به کیف پول مهاجم منتقل میشود. این روش یکی از رایجترین تکنیکهای مورد استفاده در حملات کریپتو کلیپر به شمار میرود و میتواند منجر به سرقت مستقیم داراییهای رمزارزی شود.
نقش شبکههای Ghost در اعتبارسازی جعلی
یکی از جنبههای قابل توجه این کمپین، استفاده مهاجمان از شبکههای Ghost برای تأثیرگذاری بر سامانههای مبتنی بر اعتبار مانند ویروستوتال است. مهاجمان با انتشار نظرات هماهنگ و بسیار مثبت، تلاش میکنند فایلهای مخرب را قابل اعتماد جلوه داده و میزان تردید کاربران نسبت به آنها را کاهش دهند.
به گفته محققان، هدف از این رویکرد ایجاد تصویری کمخطر از فایلهای آلوده و افزایش احتمال دانلود آنها توسط قربانیان است. در نتیجه، فایلهای مرتبط با کریپتو کلیپر ممکن است در نگاه نخست سالم یا حتی قابل اعتماد به نظر برسند؛ در حالی که در واقع برای سرقت داراییهای رمزارزی طراحی شدهاند.
دستکاری شاخصهای اعتبار در گیتهاب و سورسفورج
بررسیهای Check Point نشان میدهد عامل تهدید پشت این کمپین برای توزیع بدافزار و افزایش اعتبار ظاهری پروژههای خود، حداقل شش حساب کاربری در گیتهاب را بهصورت همزمان مدیریت میکند. این حسابها با تبلیغ متقابل مخازن یکدیگر و ایجاد تعاملات ساختگی، تلاش میکنند محبوبیت و اعتبار پروژهها را بیش از واقعیت نشان دهند.
به گفته محققان، این شاخصهای اعتبار که بهصورت مصنوعی تقویت شدهاند، با هدف ایجاد حس کاذب اعتماد و امنیت در کاربران طراحی شدهاند تا قربانیان بدون بررسی بیشتر، فایلهای ارائهشده را معتبر و قابل اعتماد تصور کنند. یکی از مخازن شناساییشده در این عملیات در زمان بررسی دارای 146 ستاره و 62 فورک (Forks) بوده است.
ردپای این دستکاریها در سورسفورج نیز مشاهده شده است. بر اساس یافتههای Check Point، یکی از پروژههای مرتبط با این کمپین بیش از 44,485 دانلود را ثبت کرده است؛ با این حال، 37,460 مورد از این دانلودها ظاهراً از دستگاههای اندرویدی انجام شدهاند. این آمار در شرایطی ثبت شده که توسعهدهنده فقط نسخههای ویندوز و مکاواس را در اختیار کاربران قرار داده و هیچ نسخه اندرویدی برای این نرمافزار وجود ندارد.
محققان معتقدند محتملترین توضیح برای این اختلاف غیرعادی، استفاده از شبکهای از دستگاههای اندرویدی (Android Farm) برای افزایش مصنوعی آمار دانلودها است؛ روشی که میتواند میزان محبوبیت یک پروژه را بیش از واقعیت نشان داده و کاربران را درباره اعتبار و میزان استقبال واقعی از آن گمراه کند.
نقش یوتیوب و محتوای صوتی تولیدشده توسط هوش مصنوعی در گسترش کریپتو کلیپر
این کمپین در بخشی از فعالیت خود از یک کانال یوتیوب با بیش از 91 هزار دنبالکننده (Subscribers) برای ترویج ابزارهای مخرب استفاده میکند. این کانال که در جولای 2020 ایجاد شده، توسط اپراتورهای آن بهعنوان یک کانال آموزشی معرفی میشود و در توضیحات آن نیز تأکید شده که محتوا صرفاً برای اهداف آموزشی منتشر میشود.
بررسیها نشان میدهد ویدئوهای این کانال با ساختاری آموزشمحور تولید شدهاند و در آنها از محتوای صوتی تولیدشده توسط هوش مصنوعی (AI-Generated Narration) استفاده میشود. در کنار این ویدئوها، تعداد زیادی نظر مثبت و حمایتی نیز منتشر شده است تا میزان محبوبیت و اعتبار ابزارهای معرفیشده بیش از واقعیت جلوه کند.
به گفته محققان، این رویکرد بخشی از راهبرد اعتبارسازی جعلی مهاجمان است؛ راهبردی که با هدف افزایش اعتماد کاربران و ترغیب آنها به دانلود فایلهای آلوده به کریپتو کلیپر طراحی شده است.
سوءاستفاده از رسانههای خبری برای اعتبارسازی
یکی از غیرمعمولترین جنبههای این کمپین، استفاده عامل تهدید از سرویسهای توزیع بیانیه خبری (Press Release Distribution Services) برای تبلیغ ابزارهای خود است. بررسیها نشان میدهد مهاجم با انتشار یک بیانیه خبری در پلتفرم EIN Presswire، تلاش کرده ابزارهای خود را بهعنوان راهکارهایی کارآمد و قابل اعتماد معرفی کند.
این بیانیه در ادامه از طریق شبکه رسانهای این سرویس در شماری از وبسایتهای خبری بازنشر شده است؛ وبسایتهایی که بخش قابل توجهی از آنها به USA TODAY Network تعلق دارند. این رویکرد نشان میدهد مهاجمان برای جلب اعتماد کاربران تنها به پلتفرمهایی مانند گیتهاب، سورسفورج، یوتیوب و ویروستوتال متکی نبودهاند، بلکه از کانالهای رسمی انتشار اخبار نیز برای افزایش اعتبار ظاهری ابزارهای مرتبط با کریپتو کلیپر بهره گرفتهاند.
تغییر رویکرد مهاجمان در ایجاد اعتماد
محققان Check Point معتقدند دستکاری افکار کاربران و شاخصهای اعتبار در پلتفرمهای مبتنی بر مشارکت کاربران (Crowd-Sourced Platforms)، نشاندهنده تغییری قابل توجه در شیوه ایجاد اعتماد توسط مهاجمان است. به گفته آنها، مهاجمان بیش از گذشته از اعتبارسازی جعلی و تأثیرگذاری بر برداشت کاربران برای کاهش سوءظن نسبت به فایلهای مخرب استفاده میکنند.
محققان هشدار میدهند این الگوی مبتنی بر اعتبارسازی جعلی و تبلیغات گسترده در پلتفرمهای مختلف میتواند در آینده برای توزیع انواع دیگر بدافزارها، از جمله بدافزارهای سرقت اطلاعات و باجافزارها، مورد استفاده قرار گیرد. به اعتقاد آنها، این رویکرد به مهاجمان امکان میدهد دامنه حملات خود را گسترش داده و در ادامه قربانیان و سازمانهای باارزشتری را هدف قرار دهند.