خانه » کمپین کریپتو کلیپر با سوءاستفاده از نظرات جعلی، محتوای صوتی تولیدشده توسط هوش مصنوعی و کامنت‌های ویروس‌توتال کاربران را فریب می‌دهد

کمپین کریپتو کلیپر با سوءاستفاده از نظرات جعلی، محتوای صوتی تولیدشده توسط هوش مصنوعی و کامنت‌های ویروس‌توتال کاربران را فریب می‌دهد

توسط Vulnerbyte_News
23 بازدید

محققان Check Point از شناسایی یک کمپین پیچیده توزیع بدافزار خبر داده‌اند که در آن یک عامل تهدید ناشناس با استفاده از پست‌های تبلیغاتی و پولی در وب‌سایت‌های خبری معتبر، زیرساختی گسترده برای اعتبارسازی جعلی و ترویج بدافزار کریپتو کلیپر (Crypto Clipper) ایجاد کرده است. این مهاجم با بهره‌گیری از یک صفحه فیشینگ اختصاصی مبتنی بر وردپرس، حساب‌های کاربری جعلی در گیت‌هاب (GitHub) و سورس‌فورج (SourceForge)، یک کانال یوتیوب و فعالیت هماهنگ در پلتفرم ویروس‌توتال (VirusTotal) تلاش می‌کند فایل‌های مخرب خود را به‌عنوان ابزارهای قابل اعتماد معرفی کرده و اعتماد کاربران را جلب کند.

بررسی‌ها نشان می‌دهد هدف نهایی این عملیات، توزیع بدافزار کریپتو کلیپر در قالب ربات‌های معاملاتی رمزارز، ابزارهای مرتبط با Solana و Pump.fun و نرم‌افزارهای پیش‌بینی بازی‌های شرط‌بندی است. مهاجمان با بهره‌گیری از مهندسی اجتماعی (Social Engineering) و اعتبارسازی جعلی، تلاش می‌کنند ابزارهای مخرب خود را به‌عنوان نرم‌افزارهای معتبر و قابل اعتماد معرفی کرده و کاربران را به دانلود آن‌ها ترغیب کنند.

استفاده از تکنیک‌های بازاریابی برای توزیع کریپتو کلیپر

بررسی‌های Check Point نشان می‌دهد عامل تهدید پشت این کمپین برای ترویج ابزار مخرب خود از همان روش‌هایی استفاده کرده که برندهای قانونی برای جلب توجه کاربران و افزایش محبوبیت محصولات خود به کار می‌گیرند. هدف از این رویکرد، کاهش تردید کاربران و افزایش احتمال دانلود بدافزار کریپتو کلیپر است.

به گفته محققان، مهاجم با ایجاد ظاهری معتبر برای ابزارهای مخرب خود، تلاش می‌کند اعتماد کاربران را جلب کرده و آن‌ها را به دانلود این فایل‌ها ترغیب کند. این اقدامات شامل افزایش مصنوعی تعداد دانلودها، انتشار هماهنگ نظرات و امتیازهای پنج‌ستاره، تولید ویدئوهای آموزشی به سبک اینفلوئنسرها و تبلیغ ابزارها در پلتفرم‌هایی است که کاربران معمولاً به آن‌ها اعتماد دارند.

محققان Check Point تأکید می‌کنند نتیجه این فعالیت‌ها شکل‌گیری یک شبکه اعتبارسازی جعلی است که تقریباً تمام پلتفرم‌هایی را در بر می‌گیرد که کاربران پیش از دانلود یک نرم‌افزار برای بررسی اعتبار آن به آن‌ها مراجعه می‌کنند. در عمل، قربانی پیش از دانلود فایل با حجم زیادی از نشانه‌های مثبت و ظاهراً معتبر روبه‌رو می‌شود که همگی برای پنهان کردن ماهیت مخرب بدافزار طراحی شده‌اند.

سازوکار بدافزار در سرقت رمزارز

هدف نهایی این کمپین، توزیع یک رباینده کلیپ‌بورد رمزارز (Cryptocurrency Clipboard Hijacker) است که در قالب ربات‌های اسنایپر (Sniper Bots) مرتبط با Solana و Pump.fun و همچنین ابزارهای پیش‌بینی بازی‌های شرط‌بندی پنهان شده است. انتخاب این موارد نشان می‌دهد دارندگان دارایی‌های رمزارزی و کاربرانی که به دنبال راهکارهای میانبر برای کسب سود سریع از معاملات یا شرط‌بندی آنلاین هستند، اهداف اصلی این عملیات محسوب می‌شوند.

این بدافزار که با زبان برنامه‌نویسی Rust توسعه یافته است، سیستم‌عامل‌های ویندوز (Windows) و مک‌اواس (macOS) را هدف قرار می‌دهد و به‌صورت مداوم محتوای کلیپ‌بورد را برای شناسایی الگوهای مرتبط با آدرس کیف پول‌های رمزارزی مانیتور می‌کند.

به محض شناسایی یک آدرس کیف پول، بدافزار آن را با آدرسی جایگزین می‌کند که مهاجم از پیش در یک فهرست هاردکد‌شده (Hard-Coded) درون بدافزار قرار داده است. در نتیجه، هنگام انجام تراکنش، دارایی دیجیتال قربانی بدون اطلاع او به کیف پول مهاجم منتقل می‌شود. این روش یکی از رایج‌ترین تکنیک‌های مورد استفاده در حملات کریپتو کلیپر به شمار می‌رود و می‌تواند منجر به سرقت مستقیم دارایی‌های رمزارزی شود.

نقش شبکه‌های Ghost در اعتبارسازی جعلی

یکی از جنبه‌های قابل توجه این کمپین، استفاده مهاجمان از شبکه‌های Ghost برای تأثیرگذاری بر سامانه‌های مبتنی بر اعتبار مانند ویروس‌توتال است. مهاجمان با انتشار نظرات هماهنگ و بسیار مثبت، تلاش می‌کنند فایل‌های مخرب را قابل اعتماد جلوه داده و میزان تردید کاربران نسبت به آن‌ها را کاهش دهند.

به گفته محققان، هدف از این رویکرد ایجاد تصویری کم‌خطر از فایل‌های آلوده و افزایش احتمال دانلود آن‌ها توسط قربانیان است. در نتیجه، فایل‌های مرتبط با کریپتو کلیپر ممکن است در نگاه نخست سالم یا حتی قابل اعتماد به نظر برسند؛ در حالی که در واقع برای سرقت دارایی‌های رمزارزی طراحی شده‌اند.

دستکاری شاخص‌های اعتبار در گیت‌هاب و سورس‌فورج

بررسی‌های Check Point نشان می‌دهد عامل تهدید پشت این کمپین برای توزیع بدافزار و افزایش اعتبار ظاهری پروژه‌های خود، حداقل شش حساب کاربری در گیت‌هاب را به‌صورت هم‌زمان مدیریت می‌کند. این حساب‌ها با تبلیغ متقابل مخازن یکدیگر و ایجاد تعاملات ساختگی، تلاش می‌کنند محبوبیت و اعتبار پروژه‌ها را بیش از واقعیت نشان دهند.

به گفته محققان، این شاخص‌های اعتبار که به‌صورت مصنوعی تقویت شده‌اند، با هدف ایجاد حس کاذب اعتماد و امنیت در کاربران طراحی شده‌اند تا قربانیان بدون بررسی بیشتر، فایل‌های ارائه‌شده را معتبر و قابل اعتماد تصور کنند. یکی از مخازن شناسایی‌شده در این عملیات در زمان بررسی دارای 146 ستاره و 62 فورک (Forks) بوده است.

ردپای این دستکاری‌ها در سورس‌فورج نیز مشاهده شده است. بر اساس یافته‌های Check Point، یکی از پروژه‌های مرتبط با این کمپین بیش از 44,485 دانلود را ثبت کرده است؛ با این حال، 37,460 مورد از این دانلودها ظاهراً از دستگاه‌های اندرویدی انجام شده‌اند. این آمار در شرایطی ثبت شده که توسعه‌دهنده فقط نسخه‌های ویندوز و مک‌اواس را در اختیار کاربران قرار داده و هیچ نسخه اندرویدی برای این نرم‌افزار وجود ندارد.

محققان معتقدند محتمل‌ترین توضیح برای این اختلاف غیرعادی، استفاده از شبکه‌ای از دستگاه‌های اندرویدی (Android Farm) برای افزایش مصنوعی آمار دانلودها است؛ روشی که می‌تواند میزان محبوبیت یک پروژه را بیش از واقعیت نشان داده و کاربران را درباره اعتبار و میزان استقبال واقعی از آن گمراه کند.

نقش یوتیوب و محتوای صوتی تولیدشده توسط هوش مصنوعی در گسترش کریپتو کلیپر

این کمپین در بخشی از فعالیت خود از یک کانال یوتیوب با بیش از 91 هزار دنبال‌کننده (Subscribers) برای ترویج ابزارهای مخرب استفاده می‌کند. این کانال که در جولای 2020 ایجاد شده، توسط اپراتورهای آن به‌عنوان یک کانال آموزشی معرفی می‌شود و در توضیحات آن نیز تأکید شده که محتوا صرفاً برای اهداف آموزشی منتشر می‌شود.

بررسی‌ها نشان می‌دهد ویدئوهای این کانال با ساختاری آموزش‌محور تولید شده‌اند و در آن‌ها از محتوای صوتی تولیدشده توسط هوش مصنوعی (AI-Generated Narration) استفاده می‌شود. در کنار این ویدئوها، تعداد زیادی نظر مثبت و حمایتی نیز منتشر شده است تا میزان محبوبیت و اعتبار ابزارهای معرفی‌شده بیش از واقعیت جلوه کند.

به گفته محققان، این رویکرد بخشی از راهبرد اعتبارسازی جعلی مهاجمان است؛ راهبردی که با هدف افزایش اعتماد کاربران و ترغیب آن‌ها به دانلود فایل‌های آلوده به کریپتو کلیپر طراحی شده است.

سوءاستفاده از رسانه‌های خبری برای اعتبارسازی

یکی از غیرمعمول‌ترین جنبه‌های این کمپین، استفاده عامل تهدید از سرویس‌های توزیع بیانیه خبری (Press Release Distribution Services) برای تبلیغ ابزارهای خود است. بررسی‌ها نشان می‌دهد مهاجم با انتشار یک بیانیه خبری در پلتفرم EIN Presswire، تلاش کرده ابزارهای خود را به‌عنوان راهکارهایی کارآمد و قابل اعتماد معرفی کند.

این بیانیه در ادامه از طریق شبکه رسانه‌ای این سرویس در شماری از وب‌سایت‌های خبری بازنشر شده است؛ وب‌سایت‌هایی که بخش قابل توجهی از آن‌ها به USA TODAY Network تعلق دارند. این رویکرد نشان می‌دهد مهاجمان برای جلب اعتماد کاربران تنها به پلتفرم‌هایی مانند گیت‌هاب، سورس‌فورج، یوتیوب و ویروس‌توتال متکی نبوده‌اند، بلکه از کانال‌های رسمی انتشار اخبار نیز برای افزایش اعتبار ظاهری ابزارهای مرتبط با کریپتو کلیپر بهره گرفته‌اند.

تغییر رویکرد مهاجمان در ایجاد اعتماد

محققان Check Point معتقدند دستکاری افکار کاربران و شاخص‌های اعتبار در پلتفرم‌های مبتنی بر مشارکت کاربران (Crowd-Sourced Platforms)، نشان‌دهنده تغییری قابل توجه در شیوه ایجاد اعتماد توسط مهاجمان است. به گفته آن‌ها، مهاجمان بیش از گذشته از اعتبارسازی جعلی و تأثیرگذاری بر برداشت کاربران برای کاهش سوءظن نسبت به فایل‌های مخرب استفاده می‌کنند.

محققان هشدار می‌دهند این الگوی مبتنی بر اعتبارسازی جعلی و تبلیغات گسترده در پلتفرم‌های مختلف می‌تواند در آینده برای توزیع انواع دیگر بدافزارها، از جمله بدافزارهای سرقت اطلاعات و باج‌افزارها، مورد استفاده قرار گیرد. به اعتقاد آن‌ها، این رویکرد به مهاجمان امکان می‌دهد دامنه حملات خود را گسترش داده و در ادامه قربانیان و سازمان‌های باارزش‌تری را هدف قرار دهند.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید