يعرض الآن ما يقرب من 2000 موقع من مواقع WordPress المخترقة NFT مزيفة ونوافذ منبثقة مخفضة لخداع الزائرين لربط محافظهم بمصرفي العملات المشفرة الذين يقومون بسرقة الأموال تلقائيًا.
شركة أمن المواقع Sucuriتم الكشف عنها الشهر الماضيأن المتسللين قاموا باختراق ما يقرب من 1000 موقع WordPress للترويج لاستنزاف العملات المشفرة، والتي قاموا بالترويج لها عبر الإعلانات الضارة ومقاطع الفيديو على YouTube.
من المعتقد أن الجهات الفاعلة في مجال التهديد لم تنجح في حملتها الأصلية وبدأت في نشر نصوص إخبارية على المواقع المخترقة لتحويل متصفحات الويب الخاصة بالزائرين إلى أدوات للضغط الغاشمة على كلمات مرور المسؤول في المواقع الأخرى.
تضمنت هذه الهجمات مجموعة تضم ما يقرب من 1700 موقعًا من مواقع القوة الغاشمة، بما في ذلك أمثلة بارزة مثل الموقع الإلكتروني لجمعية البنوك الخاصة في الإكوادور. كان الهدف هو بناء مجموعة كبيرة بما يكفي من المواقع التي يمكنهم تحقيق الدخل منها في نهاية المطاف في حملة أكثر شمولاً.
بحسب باحث في الأمن السيبرانيMalwareHunterTeamبدأت الجهات الفاعلة في مجال التهديد الآن في تحقيق الدخل من مجموعة المواقع لعرض النوافذ المنبثقة التي تروج لعروض NFT المزيفة وخصومات العملات المشفرة.
على الرغم من أنه من غير المعروف عدد المواقع المخترقة التي تعرض حاليًا أدوات تجفيف العملات المشفرة هذه، إلا أنيظهر بحث Urlscanأن أكثر من 2000 موقع ويب مخترق قام بتحميل البرامج النصية الضارة خلال الأيام السبعة الماضية.
لا تقوم جميع الشركات بإنشاء نوافذ منبثقة للعملات المشفرة في الوقت الحالي، ولكن هذا قد يتغير في أي لحظة.
تؤدي النوافذ المنبثقة إلى تجفيف العملات المشفرة
يتم تحميل البرامج النصية الضارة من المجال الديناميكي Linux[.]com، وهو نفس عنوان URL الذي شاهدته Sucuri الشهر الماضي.
سيتحقق هذا البرنامج النصي من وجود ملف تعريف ارتباط محدد (“haw”)، وإذا لم يكن موجودًا، فسيقوم بإدخال نصوص برمجية ضارة في صفحة الويب، كما هو موضح أدناه.
تعرض الشفرة الضارة بشكل عشوائي نافذة منبثقة ترويجية، تحث الضحايا على ربط محافظهم لسك NFT واعدة أو الحصول على خصم على موقع الويب.
اختبر موقع BleepingComputer العديد من المواقع التي تستضيف هذه البرامج النصية، وعلى الرغم من وجود بعض المشكلات في البداية مع النوافذ المنبثقة التي لا تحاول الاتصال بالمحافظ، إلا أنها بدأت في النهاية العمل مرة أخرى.
عند النقر فوق زر الاتصال، ستعرض البرامج النصية في البداية الدعم الأصلي لمحافظ MetaMask وSafe Wallet وCoinbase وLedger وTrust Wallet. ومع ذلك، فإنها تدعم أيضًا “WalletConnect”، الذي يدعم العديد من المحافظ الأخرى، مما يؤدي إلى توسيع نطاق الاستهداف بشكل كبير.
بمجرد أن يقوم الزائر بربط موقع Web3 الحالي بمحافظه، سيقوم مصرف العملات المشفرة بسرقة جميع الأموال والرموز غير القابلة للاستبدال (NFTs) الموجودة في الحساب وإرسالها إلى جهات التهديد.
تجدر الإشارة إلى أن MetaMask سيعرض تحذيرًا عند زيارة مواقع الويب المصابة بهذه البرامج النصية الضارة.
لقد أصبحت أدوات تجفيف العملات المشفرة أمشكلة ضخمةلمجتمع العملات المشفرة، مع الجهات التهديديةالقرصنةمعروفحسابات Xوإنشاء مقاطع فيديو بالذكاء الاصطناعي والإعلانات الضارةللترويج لمواقع الويب التي تستخدم البرامج النصية الضارة.
لتجنب فقدان أصولك الرقمية أمام مشغلي استنزاف العملات المشفرة وغيرهم من مجرمي الإنترنت، قم بتوصيل محفظتك فقط بالمنصات الموثوقة.
بغض النظر عن السمعة الراسخة لموقع الويب، فمن الحكمة توخي الحذر عند التعامل مع النوافذ المنبثقة غير المتوقعة، خاصة عندما لا تتوافق تلك النوافذ مع الموضوع أو التصميم الأساسي لموقع الويب.