آیا کاربران رمزارز در معرض تهدید جدید بدافزار و تبلیغات مخرب هستند؟
مفاهیم کلیدی- ۱۰ میلیون نفر در جهان در معرض تبلیغات مخرب کریپتو قرار گرفتند.
- بدافزار JSCEAL با تقلید از اپهای مطرحی مانند بایننس و متامسک کار میکند.
- تشخیص و مقابله با این حملات بسیار دشوار است و نرخ شناسایی پایین دارد.
هشدار به کاربران رمزارز؛ تبلیغات مخرب با اپلیکیشنهای جعلی کریپتو
بر اساس هشدار شرکت امنیت سایبری «چک پوینت»، حدود ۱۰ میلیون نفر در سراسر جهان در معرض تبلیغات آنلاین قرار گرفتهاند که اپلیکیشنهای رمزارز جعلی حاوی بدافزار را ترویج میکنند. شرکت چک پوینت اعلام کرد که در حال رصد کمپینی بدافزاری با نام «JSCEAL» است که کاربران رمزارز را با جعل اپلیکیشنهای رایج خرید و فروش رمزارز هدف قرار داده است.
این حمله دستکم از مارس ۲۰۲۴ فعال بوده و به مرور زمان پیشرفتهتر شده است. هکرها با استفاده از تبلیغات، قربانیان را فریب میدهند تا اپلیکیشنهای جعلی نصب کنند؛ اپهایی که تقریباً ۵۰ نرمافزار معاملهگری رمزارز مشهور شامل بایننس، متامسک و کراکن را تقلید میکنند.
کاربران کریپتو به علت اینکه در صورت سرقت سرمایه، کمتر امکان پیگیری دارند و ناشناسی بلاکچینها، از اهداف اصلی مجرمان و طرحهای بدافزاری هستند. طبق دادههای چک پوینت، ابزار تبلیغاتی متا در نیمه اول سال ۲۰۲۵ تعداد ۳۵ هزار آگهی مخرب را شناسایی کرده که «تنها در اتحادیه اروپا چند میلیون بازدید داشته است.» این شرکت تخمین زد که دستکم ۳.۵ میلیون نفر در اروپا در معرض این تبلیغات قرار گرفتهاند، اما هشدار داد که هدف این حملات همچنین مؤسسات مالی و کریپتوی آسیایی است؛ مناطقی که کاربران شبکههای اجتماعی بیشتری دارد.
چک پوینت اعلام کرد: «تأثیر جهانی این کمپین به راحتی میتواند فراتر از ۱۰ میلیون نفر باشد.» همچنین تشخیص کامل دامنه یک کمپین بدافزاری تقریباً غیرممکن است و صرف مشاهده تبلیغات نشانه آسیب دیدن کاربران نیست.
آخرین نسخه این حملات از «روشهای خاص مقابله با شناسایی» استفاده میکند که باعث شده نرخ شناسایی بسیار پایین باشد و کمپین تا مدت زیادی شناسایی نشود. در این حمله، قربانی پس از کلیک روی تبلیغ مخرب به سایتی به ظاهر معتبر اما جعلی هدایت میشود تا بدافزار را دانلود کند. سایت و نرمافزار نصب به طور همزمان اجرا میشوند و همین موضوع، تحلیل و شناسایی را دشوارتر میکند، زیرا جدا از هم قابل شناسایی نیستند.
اپلیکیشن جعلی یک برنامه باز میکند که کاربر را به سایت واقعی اپلیکیشنی که تصور میکند دانلود کرده هدایت میکند، اما در پسزمینه اطلاعات حساس کاربر را (عمدتاً مرتبط با رمزارزها) جمعآوری میکند. این بدافزار با زبان برنامهنویسی جاوااسکریپت نوشته شده و نیاز به دخالت کاربر برای اجرا ندارد. چک پوینت اعلام کرد ترکیب کد کامپایلشده با مبهمسازی زیاد، تحلیل این بدافزار را بسیار دشوار و زمانبر کرده است.
هدف اصلی این حمله، جمعآوری هرگونه اطلاعات از دستگاه آلوده و ارسال آن به مهاجم است. از جمله اطلاعات جمعآوریشده میتوان به ورودیهای کیبورد کاربر (که امکان لو رفتن رمز عبور وجود دارد)، اطلاعات حساب تلگرام، گذرواژههای تکمیل خودکار و کوکیهای مرورگر (که نشان میدهد کاربر به چه وبسایتهایی سر میزند) و حتی قابلیت دستکاری افزونههای کروم رمزارز مانند متامسک اشاره کرد.
بنابر اعلام چک پوینت، نرمافزارهای ضدبدافزاری که اجرای جاوااسکریپت مخرب را تشخیص میدهند، برای جلوگیری از چنین حملاتی بر روی دستگاههای آلوده «بسیار مؤثر» خواهند بود.
