هکرها در زمینه کلاهبرداری در حوزه ارز دیجیتال با ایجاد صدها پروژه جعلی در گیتهاب، کاربران را فریب داده و آنها را به دانلود بدافزارهایی هدایت میکنند که اطلاعات ورود و کیف پولهای کریپتو را سرقت میکنند.
به گزارش میهن بلاکچین، این کمپین بدافزاری که «گیتونوم (GitVenom)» نام دارد، از روشهای پیچیدهای برای جعل پروژههای مورد اعتماد و فریب قربانیان استفاده میکند.
گزارش کاسپرسکی از گیتونوم
هکرها در حال ایجاد صدها پروژه جعلی در گیتهاب هستند که هدفشان فریب کاربران برای دانلود بدافزارهایی است که اطلاعات ورود و کیف پولهای کریپتو را سرقت میکنند.
جرجی کوچیرین (Georgy Kucherin)، تحلیلگر کاسپرسکی، در گزارشی که در تاریخ ۲۴ فوریه (۶ اسفند) منتشر شد، گفت کمپین بدافزاری که این شرکت آن را گیتونوم (GitVenom) نامیده، شامل ایجاد صدها مخزن (Repository) جعلی در گیتهاب توسط هکرهاست که پروژههای تقلبی را میزبانی میکند و در آنها تروجانهای دسترسی از راه دور (RATs)، ابزارهای سرقت اطلاعات و کلیپبرد موجود است.
برخی از پروژههای جعلی شامل ربات تلگرامی برای مدیریت کیف پولهای بیت کوین و ابزاری برای خودکارسازی تعاملات حسابهای اینستاگرام هستند.
کوچیرین افزود که سازندگان این بدافزار «برای قابل اعتماد جلوه دادن» پروژهها به شدت تلاش کردهاند؛ به طوری که فایلهای اطلاعاتی و دستورالعملهایی را اضافه کردهاند که «بسیار خوب طراحی شده» و احتمالا «با استفاده از ابزارهای هوش مصنوعی تولید شدهاند».
افرادی که پشت این پروژههای مخرب هستند تعداد «کامیتها (Commits)» یا تغییرات در پروژهها را به صورت مصنوعی افزایش داده و چندین ارجاع به تغییرات خاص اضافه کردهاند تا ظاهراً نشان دهند پروژه در حال بهبود فعالانه است.
وی اظهار داشت:
برای انجام این کار، آنها یک فایل زمانبندی در این مخزنها قرار دادند که هر چند دقیقه یکبار بهروزرسانی میشد.
مثالی از آنچه که کاسپرسکی به عنوان یک فایل دستورالعمل «خوب طراحیشده» در نظر گرفته است، در پروژهای که به عنوان یک بازی پیشبینی معرفی شده، مشاهده شده است.
کوچیرین در گزارش خود گفت:
به وضوح در طراحی این پروژههای جعلی، این افراد تمام تلاش خود را کردهاند تا مخازن را برای اهداف احتمالی، قابل اعتماد جلوه دهند.
این پروژهها ویژگیهایی را که در فایلهای دستورالعمل و توضیحی ذکر شده بود پیادهسازی نکردند و کاسپرسکی متوجه شد که این پروژهها عمدتا «عملیات بیمعنی» انجام میدهند.
کاسپرسکی در جریان تحقیقات خود، چندین پروژه جعلی پیدا کرد که حداقل دو سال فعال بودند و گمانهزنی کرد که «روش آلودهسازی احتمالاً بسیار مؤثر است»، زیرا هکرها مدتهاست که در حال فریب قربانیان هستند.
کوچیرین گفت که صرفنظر از اینکه پروژه جعلی خود را چگونه معرفی میکند، همه آنها «بارهای مخرب» دارند که اجزایی مانند یک ابزار سرقت اطلاعات را دانلود میکنند که اطلاعات ورود ذخیرهشده، دادههای کیف پول کریپتو و تاریخچه مرورگر را به سرقت برده و از طریق تلگرام به هکرها آپلود میکند.
یکی دیگر از اجزای مخرب از هکرهای کلیپبرد استفاده میکند که به دنبال آدرسهای کیف پول کریپتو هستند و آنها را با آدرسهای تحت کنترل مهاجم جایگزین میکنند.
کوچیرین گفت که این برنامههای مخرب حداقل یک کاربر را در ماه نوامبر فریب دادهاند. یک کیف پول تحت کنترل این هکر، ۵ بیت کوین دریافت کرده است که در حال حاضر ارزش آن حدود ۴۴۲,۰۰۰ دلار است.
این بدافزارها اطلاعاتی مانند اطلاعات ورود ذخیرهشده، دادههای کیف پول کریپتو و تاریخچه مرورگری را جمعآوری کرده و سپس از طریق تلگرام به هکرها ارسال میکنند.
کمپین گیتونوم در سراسر جهان مشاهده شده است، اما به گفته کاسپرسکی، تمرکز بیشتری بر آلوده کردن کاربران از کشورهای روسیه، برزیل و ترکیه وجود دارد.
کوچیرین میگوید که به دلیل استفاده میلیونها توسعهدهنده از پلتفرمهای اشتراکگذاری کد مانند گیتهاب در سراسر جهان، عاملان تهدید همچنان از نرمافزارهای جعلی به عنوان فریبدهنده برای آلودهسازی استفاده خواهند کرد.
او توصیه کرد که بررسی اقدامات هر کدی که از منابع ثالث دانلود میشود ضروری است. کوچیرین افزود که این شرکت پیشبینی میکند حملهکنندگان به انتشار پروژههای مخرب «احتمالاً با تغییرات جزئی در تاکتیکها، تکنیکها و رویههای خود» ادامه دهند.
