يستغل المهاجمون منصة ديسكورد لنشر برنامج خبيث يسرق عناوين المحافظ الإلكترونية عند لصق النصوص.

 

 

يستغل برنامج خبيث جديد، يُطلق العنان لخاصية اختطاف الحافظة، ثغرات الثقة داخل مجتمعات ديسكورد، ويستنزف العملات الرقمية من اللاعبين ومنشئي المحتوى.

تتمحور هذه الحملة حول برنامج ويندوز خبيث يُسوّق على أنه أداة بث أو أمان. بمجرد تثبيته، يراقب البرنامج حافظة المستخدم خلسةً، منتظرًا لحظة نسخ عنوان محفظة العملات الرقمية. 

عندما يقوم الضحية بلصق العنوان في منصة تداول أو محفظة أو حقل دفع، يقوم البرنامج الخبيث باستبداله بعنوان يتحكم به المهاجم، مُحوّلاً الأموال دون ترك أي أثر واضح.

يركز المهاجم، الذي يُعرف باسم "RedLineCyber"، على خوادم Discord المرتبطة بالألعاب والمقامرة وبث العملات الرقمية.

يبني المهاجم علاقات ودية مع أعضاء الخادم، مُقدماً نفسه كمطور أدوات، ويشارك ملفاً خاصاً باسم Pro.exe أو peeek.exe.

يُخبر الضحايا أن الأداة ستساعدهم في إدارة أو حماية عناوين محافظهم أثناء الجلسات المباشرة، مما يجعلها تبدو مفيدة وليست مشبوهة.

وراء هذا العرض الودود، تكمن عملية سرقة مُحكمة قادرة على إفراغ المعاملات المالية بهدوء تام بمجرد خطأ إملائي واحد.

كشف هذه العملية أثناء مراقبتهم للمجتمعات السرية وقنوات Discord التي يستخدمها مجرمو الإنترنت.

خلال عمليات الاستخبارات البشرية هذه، تمكن  من تحديد هوية "R Ss" المزيفة، وتتبعوا البرمجية الخبيثة إلى ملف تنفيذي مكتوب بلغة Python ومُضمّن في PyInstaller.

أكد تحليلهم أن البرنامج لا يتصرف كبرامج سرقة المعلومات التقليدية، بل يقتصر نشاطه على مهمة واحدة: التلاعب ببيانات الحافظة المرتبطة بالعملات الرقمية الشائعة.

يُعدّ تأثير هذه الحملة بالغ الأهمية لأنها تستهدف المستخدمين في اللحظة التي يكون فيها تركيزهم البشري في أضعف حالاته. فكثير من مُنشئي المحتوى والمتداولين النشطين ينسخون ويلصقون سلاسل محافظ طويلة دون التحقق من كل حرف.

وبفضل عملها دون توجيه حركة مرور التحكم، واستهلاكها الحد الأدنى من موارد النظام، تستطيع البرمجية الخبيثة البقاء نشطة لفترات طويلة، بانتظار عمليات تحويل ذات قيمة عالية.

تُظهر آثار سلسلة الكتل المرتبطة بعناوين المحفظة المضمنة للمهاجم بالفعل أموالاً مسروقة عبر Bitcoin و Ethereum و Solana و Dogecoin و Litecoin و Tron.

آلية الإصابة ومنطق اختطاف الحافظة

بمجرد أن يقوم الضحية بتشغيل ملف Pro.exe، يقوم البرنامج الخبيث بإنشاء مجلد باسم CryptoClipboardGuard داخل مجلد %APPDATA% في نظام التشغيل Windows، ويسجل نفسه في مفتاح التشغيل (Run) في سجل النظام الخاص بالمستخدم الحالي.

يضمن هذا بدء تشغيله تلقائيًا عند بدء تشغيل النظام، ويستمر في العمل في الخلفية دون أي نافذة مرئية.

يحتوي الملف التنفيذي على بيئة تشغيل بايثون خاصة به ورمز بايت مُشفر، مما يُمكّنه من العمل حتى على الأنظمة التي لا تحتوي على بايثون مُثبتة.

ثم يدخل في حلقة تكرار مُحكمة، حيث يتحقق من الحافظة حوالي ثلاث مرات في الثانية.

في كل مرة يتغير فيها محتوى الحافظة، يقوم البرنامج الخبيث بفحصها باستخدام تعابير نمطية مشفرة بنظام base64 تتطابق مع تنسيقات المحافظ للعملات الرئيسية.

إذا اكتشف عنوانًا صالحًا، فإنه يستبدل الحافظة فورًا بمحفظة مهاجم مُعدة مسبقًا لتلك العملة، ويسجل عملية التبديل في ملف activity.log الموجود في %APPDATA%\CryptoClipboardGuard.

لأن تغيير العنوان يحدث بين النسخ واللصق، فإن معظم الضحايا لا يلاحظون الاستبدال إلا عندما تصل أموالهم إلى المحفظة الخاطئة - وعندها يكون التحويل غير قابل للعكس.