برنامج ضار جديد يهاجم مستخدمي العملات الرقمية، يسرق بيانات المحفظة والمعلومات المالية عن طريق تجاوز تشفير Chrome ومراقبة نشاط الحافظة لاعتراض وتوجيه المعاملات.
برامج ضارة جديدة تستنزف محافظ العملات الرقمية عبر جوجل كروم
نُشر هذا المقال قبل أكثر من عام. قد لا تكون بعض المعلومات حديثة.
بقلم
مشاركة
برنامج ضار جديد يستهدف مستخدمي العملات الرقمية، يسرق بيانات المحفظة والمعلومات المالية
تم اكتشاف قاعدة الوصول عن بُعد (RAT) جديدة تُعرف باسم StilachiRAT تستهدف بشكل خاص مستخدمي العملات الرقمية عن طريق سرقة بيانات المحفظة الرقمية واستخراج البيانات الحساسة. تفاصيل باحثو استجابة الحوادث في Microsoft المهارات في تقرير نُشر في 17 مارس 2025، مسلطين الضوء على تركيزه في اختراق مستخدمي Google Chrome الذين يحتفظون بامتدادات المحافظ الرقمية وبيانات تسجيل الدخول المحفوظة.
وفقًا لمايكروسوفت:
يستهدف StilachiRAT قائمة معينة من امتدادات محافظ العملات الرقمية لمتصفح Google Chrome.
يقوم البرنامج الضار بمسح 20 امتداد مختلف للمحفظة، بما في ذلك Bitget Wallet (سابقًا Bitkeep)، Trust Wallet، Tronlink، Metamask (ethereum)، Tokenpocket، BNB Chain Wallet، OKX Wallet، Sui Wallet، Braavos – Starknet Wallet، Coinbase Wallet، Leap Cosmos Wallet، Manta Wallet، Keplr، Phantom، Compass Wallet for Sei، Math Wallet، Fractal Wallet، Station Wallet، Confluxportal، وPlug، مما يسمح للمهاجمين باستخراج معلومات الأصول الرقمية.
بجانب استهداف محافظ العملات الرقمية، يقوم StilachiRAT أيضًا بسرقة بيانات الدخول المحفوظة في Google Chrome عن طريق تجاوز آليات التشفير الخاصة به. يشرح التقرير: “يستخرج StilachiRAT مفتاح التشفير الخاص بـ Google Chrome من ملف الحالة المحلية في دليل المستخدم. ومع ذلك، نظرًا لأن المفتاح مُشفر عند تثبيت Chrome لأول مرة، فإنه يستخدم واجهات برمجة تطبيقات ويندوز تعتمد على سياق المستخدم الحالي لفك تشفير المفتاح الرئيسي. هذا يسمح بالوصول إلى بيانات الدخول المخزنة في خزنة الكلمات المرور.”
هذا يمكّن المهاجمين من استرداد أسماء المستخدمين وكلمات المرور المرتبطة بحسابات مالية، مما يزيد من خطر التعرض للأصول الرقمية للضحايا. بالإضافة إلى ذلك، ينشئ StilachiRAT اتصالًا بأمر وتحكم (C2)، مما يتيح للمشغلين عن بُعد تنفيذ الأوامر، ومعالجة العمليات النظامية، والبقاء مستمرين حتى بعد الكشف الأولي.
كما يراقب البرنامج الضار باستمرار بيانات الحافظة لاستخراج المفاتيح الرقمية الحساسة والمعلومات المالية. يشير تقرير مايكروسوفت:
مراقبة الحافظة مستمرة، مع عمليات البحث المستهدفة عن المعلومات الحساسة مثل كلمات المرور، المفاتيح الرقمية، وربما المعرفات الشخصية.
من خلال مسح الأنماط المحددة المرتبطة بعناوين العملات الرقمية، يمكن لـ StilachiRAT اعتراض واستبدال عناوين المحافظ المنسوخة، مما يعيد توجيه المعاملات إلى وجهة يتحكم فيها المهاجم. للحد من المخاطر، تنصح مايكروسوفت المستخدمين بتنفيذ تدابير الأمان مثل تفعيل حماية Microsoft Defender، استخدام المتصفحات الآمنة، وتجنب التنزيلات غير المؤكدة. ومع تطور التهديدات، يحث الخبراء في الأمن السيبراني حملة الكريبتو على البقاء يقظين ضد البرامج الضارة الناشئة المصممة لاستغلال الأصول الرقمية.
