درایرهای رمزارزی: بدافزارهای آسان و حرفهای در نمایشگاههای فناوری
مفاهیم کلیدی- درایرهای رمزارزی با مدل DaaS و اجاره هزینهای کم، راه ورود آسان به دنیای سایبری شدند.
- گروههای خدمات درایر بهطور فزاینده جسور و شبیه کسبوکارهای سنتی ظاهر میشوند.
- خسارات وارده از این درایرها به میلیاردها دلار رسیده و جذب توسعهدهندگان از طریق آگهیهای شغلی رو به افزایش است.
درایرهای رمزارزی؛ بدافزارهای دزد ارز دیجیتال به صورت خدماتی در نمایشگاههای فناوری اطلاعات
درایرهای رمزارزی، بدافزاری که برای دزدیدن ارزهای دیجیتال طراحی شدهاند، به علت تحول اکوسیستم به مدل کسبوکار نرمافزار به عنوان خدمت (SaaS) دسترسی آسانتری پیدا کردهاند. در گزارشی در ۲۲ آوریل، شرکت تحقیقات جرایم رمزارزی و رعایت مقررات AMLBot افشا کرد که بسیاری از عملیات درایر به مدل SaaS به نام درایر به عنوان خدمت (DaaS) تغییر یافتهاند. گزارش نشان داد که پخشکنندگان بدافزار میتوانند یک درایر را با هزینهای بین ۱۰۰ تا ۳۰۰ یواسدی تی (USDT) اجاره کنند.
سلاوا دمچوک، مدیر عامل AMLBot به Cointelegraph گفت: «قبلاً ورود به دنیای کلاهبرداریهای ارز دیجیتال نیاز به دانش فنی قابل توجهی داشت.» اما اکنون دیگر اینگونه نیست. طبق مدل DaaS، «آغاز کار به مراتب دشوارتر از سایر جرایم سایبری نیست.» دمچوک توضیح داد که متقاضیان درایر با پیوستن به جوامع آنلاین از کلاهبرداران با تجربه که راهنماها و آموزشهایی ارائه میدهند، اطلاعات کسب میکنند. به این ترتیب، بسیاری از افراد دخیل در حملات فیشینگ سنتی به فضای درایرهای رمزارزی وارد میشوند.
دمچوک افزود که گروههایی که درایرهای رمزارزی را به عنوان سرویس ارائه میکنند، روز به روز جسورتر شده و شباهت بیشتری به کسبوکارهای سنتی پیدا میکنند. او گفت: «جالب است که برخی گروهها به قدری جسور و حرفهای شدهاند که حتی غرفههایی در کنفرانسهای صنعت فناوری اطلاعات ایجاد کردهاند؛ به عنوان مثال، CryptoGrab.» وقتی پرسیده شد چگونه یک عملیات جنایی بدون مواجهه با عواقبی مانند دستگیری، نمایندگانی را به رویدادهای فناوری اطلاعات اعزام میکند، او به اقدامات مجریان سایبری روسیه اشاره کرد و گفت: «تمام این کارها در حوزههای قضایی مانند روسیه امکانپذیر است، جایی که هک عملاً قانونی شده، البته به شرطی که در فضای پس از شوروی فعالیت نداشته باشید.»
این موضوع سالهاست که یک راز آشکار در صنعت امنیت سایبری بهشمار میآید. نشریه خبری امنیت سایبری KrebsOnSecurity در سال ۲۰۲۱ گزارش داد که «عملاً تمامی سویههای باجافزار» در صورت شناسایی صفحهکلیدهای مجازی روسی بدون ایجاد خسارت غیرفعال میشوند. به همین ترتیب، بدافزار اطلاعاتچران Typhon Reborn v2 موقعیت جغرافیایی آیپی کاربر را در برابر فهرستی از کشورهای پس از شوروی میسنجد. به گفته شرکت شبکه سیسکو، اگر نرمافزار تشخیص دهد که در یکی از این کشورها قرار دارد، غیرفعال میشود؛ زیرا مقامات روسی نشان دادهاند در صورت آسیب رساندن هکرهای محلی به شهروندان بلوک پس از شوروی، اقدام خواهد شد.
دمچوک همچنین توضیح داد که سازمانهای DaaS معمولاً مشتریان خود را در داخل جوامع موجود فیشینگ پیدا میکنند. این جوامع شامل انجمنهای هکرهای کلاه خاکستری و سیاه در اینترنت معمولی (کلیرنت) و دارک نت (وب عمیق)، گروهها و کانالهای تلگرام و پلتفرمهای بازار خاکستری میباشد. در سال ۲۰۲۴، Scam Sniffer گزارش داد که درایرها مسئول خساراتی به ارزش تقریبی ۴۹۴ میلیون دلار بودهاند که نسبت به سال گذشته ۶۷ درصد افزایش داشته، در حالی که تعداد قربانیان تنها ۳.۷ درصد رشد کرده است. همچنین، شرکت پیشرو در امنیت سایبری کسپرسکی اعلام کرد که تعداد منابع آنلاین اختصاص یافته به درایرها در انجمنهای دارک نت از ۵۵ در سال ۲۰۲۲ به ۱۲۹ در سال ۲۰۲۴ افزایش یافته است.
توسعهدهندگان اغلب از طریق آگهیهای شغلی معمولی جذب میشوند. مامور اطلاعات اوپنسورس AMLBot که برای ایمنی ترجیح میدهد ناشناس بماند، به Cointelegraph گفت که در حین پژوهش درباره درایرها، تیم او «با چندین آگهی استخدامی مواجه شد که به طور ویژه به جذب توسعهدهندگانی برای ساخت درایرها در اکوسیستمهای وب ۳ هدفمند شده بود.» او نمونهای از یک آگهی استخدام ارائه کرد که ویژگیهای مورد نیاز یک اسکریپت برای تخلیه کیف پولهای Hedera (HBAR) را شرح میداد. بار دیگر، این پیشنهاد عمدتاً برای روسزبانها هدفگذاری شده بود؛ اگر بگوییم: «این درخواست ابتدا به زبان روسی نوشته شده و در یک چت تلگرامی متمرکز بر توسعهدهندگان به اشتراک گذاشته شد. این نمونهای واضح از جذب فعال استعدادهای فنی در جوامع تخصصی و اغلب نیمهباز است.»
این مامور افزون بر این افزود که آگهیهایی مشابه این در چتهای تلگرام مربوط به توسعهدهندگان قرارداد هوشمند ظاهر میشوند. این چتها خصوصی یا محدود نیستند اما کوچک بوده و معمولاً بین ۱۰۰ تا ۲۰۰ عضو دارند. مدیران به سرعت آگهی نمونه را حذف کردند؛ اما به قول معروف، «کسانی که نیاز به دیدن آن داشتند، پیش از حذف توجه کرده و پاسخ داده بودند.»
به طور سنتی، این نوع کسبوکار در انجمنهای تخصصی اینترنت معمولی (کلیرنت) و انجمنهای وب عمیق قابل دسترس از طریق شبکه تور انجام میشد. اما با سیاست تلگرام در عدم اشتراکگذاری داده با مقامات، بسیاری از محتوا به آنجا منتقل شده است. پس از دستگیری پاول دوروف، مدیر عامل تلگرام، وضعیت تغییر کرد: «به محض اعلام تلگرام مبنی بر ارايه دادهها، جریان محتوا به تور دوباره آغاز شد، زیرا حفاظت از خود در آنجا آسانتر است.» با این حال، این تهدید برای جنایتکاران سایبری ممکن است دیگر اهمیت نداشته باشد. اوایل این هفته، دوروف نگرانیهایی را در خصوص افزایش تهدید برای پیامرسانهای خصوصی در فرانسه و سایر کشورهای اتحادیه اروپا ابراز کرد و هشدار داد که تلگرام ترجیح میدهد از برخی بازارها خارج شود تا دروازههای پشتی رمزگذاری که حریم خصوصی کاربران را به خطر میاندازند، اجرا نگردد.
در نهایت، درایرهای رمزارزی که به عنوان بدافزارهایی برای دزدیدن ارز دیجیتال طراحی شدهاند، اکنون به صنعتی تبدیل شدهاند که دسترسی به آن بسیار آسان بوده و افراد میتوانند به نفع آن مشارکت کنند.
