Netcrook Logo
👤 CRYSTALPROXY
🗓️ 27 Mar 2026   🌍 Asia

عمليات احتيال لقطات الشاشة: داخل حملة البرمجيات الخبيثة السرّية التي تستهدف فرق دعم Web3

العنوان الفرعي: قراصنة يتنكرون كمستخدمين، يمرّرون البرمجيات الخبيثة عبر موظفي الخط الأمامي باستخدام لقطات شاشة مُسلّحة وتكتيكات مراوغة متقدمة.

في يوم عمل هادئ، ينقر فنيّ دعم في منصة Web3 رائدة على ما يبدو أنه لقطة شاشة عادية أرسلها عميل. خلال ثوانٍ، يُخترق جهازه - ومن دون أن يدري، تكون مجموعة إجرامية سيبرانية غامضة قد تسللت للتو عبر الدفاعات الرقمية. ليست هذه لقطة من فيلم إثارة سيبراني؛ إنها الواقع الجديد لفرق دعم العملاء في عالم التمويل اللامركزي، مع تحوّل المهاجمين إلى استهداف خط المواجهة البشري.

خط مواجهة جديد في الجريمة السيبرانية

تشير الموجة الأخيرة من الهجمات ضد منصات التبادل اللامركزي، بما في ذلك 1inch، إلى تطور تكتيكي لدى المجرمين السيبرانيين. فبدلًا من الاكتفاء بانتظار تعثر الضحايا بمواقع مسمومة، باتت الجهات المهدِّدة تستهدف الآن أكثر نقطة يسهل الوصول إليها في أي منظمة: الناس.

متنكرين كمستخدمين محبطين يطلبون المساعدة في المعاملات، يرسل هؤلاء المهاجمون طلبات دعم تبدو روتينية. ويُحكم الفخ عبر روابط تبدو كأنها لقطات شاشة غير ضارة - لكن عند فتحها تُطلق سلسلة إصابة متعددة المراحل ببرمجيات خبيثة متقدمة. هذه الحملة، التي تتبعها باحثون أمنيون ونُسبت إلى مجموعة APT-Q-27 ذات الدافع المالي، لافتة بعمقها التقني وبراعتها في الهندسة الاجتماعية.

تشريح الهجوم

يقوم مُحمِّل البرمجية الخبيثة الأولي، المتنكر كملف صورة، بإجراء فحوصات لتفادي التحليل ويطلق تنزيلًا خفيًا لحمولات إضافية. جميع الاتصالات ومسارات الملفات مشفّرة أو مُموّهة، ما يجعل الكشف صعبًا. تُجلب الحمولة الرئيسية من “نقطة إسقاط ميتة” على AWS S3، ثم تُستخرج إلى مجلد مخفي صُمم ليحاكي ذاكرة التخزين المؤقت لتحديثات ويندوز - مكتملًا بمعرّف فريد لتجنب اكتشافه بسهولة.

يستغل المهاجمون تقنية كلاسيكية تُعرف باسم تحميل DLL الجانبي. فمن خلال وضع ملفات DLL خبيثة إلى جانب ملف تنفيذي موثوق وموقّع من منصة YY، يخدعون ويندوز لتشغيل شيفرتهم تحت غطاء عملية شرعية. هذا التحميل الجانبي الذكي يتجاوز فحوصات الأمان القياسية، ما يسمح للبرمجية الخبيثة بترسيخ موطئ قدم دائم.

بعد التمركز، تتواصل البرمجية الخبيثة مع شبكة واسعة تضم 37 خادمًا للتحكم والسيطرة، مستخدمة بروتوكولًا مشفّرًا مخصصًا عبر منفذ TCP غير معتاد. وتُظهر البنية التحتية روابط بعمليات سابقة لـ APT-Q-27، بما في ذلك استخدام تحديد موقع جغرافي مُموّه لإخفاء المصدر الحقيقي للهجمات.

حماية مكتب المساعدة الرقمي

بالنسبة لمنظمات Web3، الدرس واضح: مكتب الاستقبال أصبح الآن خط المواجهة. دفاعات بسيطة، مثل إظهار امتدادات الملفات ومراقبة نشاط الشبكة غير المعتاد، يمكن أن تُحدث فرقًا. لكن مع صقل جهات التهديد مثل GoldenEyeDog لأساليبها، تصبح اليقظة والتدريب والأمن متعدد الطبقات أكثر أهمية من أي وقت مضى.

ومع استمرار نمو منصات Web3، سيتبع المهاجمون المال - والناس. في الوقت الراهن، تكفي نقرة واحدة على لقطة شاشة مزيفة لتمكين المجرمين السيبرانيين من اختراق حتى أحدث الدفاعات. وقد تُخاض معركة مستقبل البلوك تشين في صناديق بريد فرق الدعم حول العالم.

WIKICROOK

  • تحميل DLL الجانبي: تحميل DLL الجانبي هو عندما يخدع المهاجمون البرامج الموثوقة لتحميل ملفات مساعدة خبيثة (DLL) بدلًا من الشرعية، ما يتيح هجمات خفية.
  • المُحمِّل: المُحمِّل هو برمجية خبيثة تُثبّت أو تُشغّل برمجيات خبيثة أخرى على نظام مُصاب، ما يتيح هجمات سيبرانية لاحقة أو وصولًا غير مصرح به.
  • أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • تفادي الساندبوكس: تفادي الساندبوكس هو عندما تكتشف البرمجية الخبيثة أنها داخل بيئة آمنة ومعزولة فتتوقف عن العمل لتجنب تحليلها أو اكتشافها.
  • الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لاستدراج الناس إلى كشف معلومات سرية أو توفير وصول غير مصرح به إلى الأنظمة.
Screenshot Scams Web3 Security Cybercrime
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news