قراصنة من كوريا الشمالية يستغلون ميزة زووم لسرقة ملايين العملات المشفرة

تستهدف حملة جرائم إلكترونية جديدة ومقلقة تجار ومستثمري العملات المشفرة، مستخدمةً منصة مؤتمرات الفيديو الشهيرة "زووم" كأداة هجومية. وقد كشفت تقارير صادرة عن منظمة "تحالف الأمن" غير الربحية (SEAL) وشركة "تريل أوف بيتس" للأمن السيبراني عن عملية ماكرة دبرها قراصنة من كوريا الشمالية، المعروفون بهجماتهم المتواصلة على قطاع العملات المشفرة. وتكشف هذه الحملة، التي أُطلق عليها اسم "المذنب المراوغ"، عن مدى تعقيد تهديدات الهندسة الاجتماعية، وكيف يمكن أن تصبح أدوات الأعمال اليومية أسلحةً في الأيدي الخطأ.

طُعم التصيد الاحتيالي الذي يتنكر في صورة فرص عمل

أسلوب المهاجمين مقنع ودقيق. ينتحلون صفة مستثمرين مغامرين أو مقدمي بودكاست، ويتواصلون معهم في البداية بما يبدو أنه عرض عمل مشروع. غالبًا ما يتم التواصل مع الضحايا عبر روابط Calendly، ودعوتهم لجدولة اجتماع عبر Zoom لمناقشة استثمار مزعوم أو ظهور بودكاست. صُممت هذه الرسالة الأولية لتبدو كفرصة لا تهديد، مما يُضعف دفاعات الهدف ويُعزز شعوره بالإلحاح من خلال تأجيل تفاصيل الاجتماع إلى اللحظة الأخيرة.

بمجرد انضمام الضحية إلى مكالمة زووم المجدولة، يبدأ المهاجمون بالهجوم. يطلبون من الضحية مشاركة شاشته - وهو طلب شائع في مناقشات العمل. ثم، باستخدام ميزة التحكم عن بُعد في زووم، يطلب المخترقون التحكم بجهاز الضحية. ويُزيد هذا الطلب من خطورته خدعة خادعة: إذ يغيّر المهاجمون اسم العرض الخاص بهم على زووم إلى "زووم"، مما يُخفي نافذة الأذونات لتبدو كإشعار نظام عادي وغير ضار.

نقرة واحدة لحل المشكلة بالكامل

بنقرة واحدة، يمكن للضحية التحكم الكامل بفأرة ولوحة مفاتيحه. ينشر المهاجمون بسرعة برامج خبيثة لسرقة المعلومات أو أحصنة طروادة للوصول عن بُعد (RATs)، والتي تبحث في الجهاز عن جلسات المتصفح، وكلمات المرور المحفوظة، وعبارات محفظة العملات المشفرة، وغيرها من المعلومات الحساسة. تُنسب سجلات SEAL ملايين الدولارات من الأموال المسروقة إلى هذه الأساليب، مشيرةً إلى أن المجرمين يعتمدون على شبكة من حسابات التواصل الاجتماعي المزيفة والمواقع الإلكترونية المصقولة لإضفاء مصداقية على خدعهم.

واجهت شركة Trail of Bits الهجوم مباشرةً. تلقى الرئيس التنفيذي للشركة رسائل من حسابات X (المعروفة سابقًا باسم Twitter) تدّعي أنها تابعة لشركة Bloomberg، وتطالب بإجراء مقابلة فورية عبر Zoom حول العملات المشفرة. وبالتدقيق، تبيّن أن روابط اجتماعات Zoom تقود إلى حسابات خاصة بالمستهلكين، وليست حسابات شركات رسمية. رفض المهاجمون باستمرار التواصل عبر البريد الإلكتروني، مُصرّين على استخدام Zoom، حيث يمكنهم إطلاق ثغرتهم.

ميزة معيبة تحولت إلى ناقل هجوم

يكمن أساس الهجوم في ميزة "التحكم عن بُعد" في تطبيق Zoom، وهي مصممة للعمل التعاوني، ولكن يُمكن إساءة استخدامها إذا لم يكن المستخدمون يقظين. على الرغم من إمكانية تعطيل هذه الميزة على مستوى الحساب أو المجموعة أو المستخدم، إلا أنها غالبًا ما تُفعّل افتراضيًا في إعدادات الشركة. يفتقر مربع حوار الأذونات إلى أي علامة مميزة تُشير إلى طلب جهة خارجية، مما يُسهّل خداع المستخدمين بمطالبة تبدو روتينية.

تُحذّر شركة "تريل أوف بيتس" من فعالية هذا النوع من الهجمات لاعتماده على السلوك البشري، لا على ثغرات برمجية. فالعديد من المحترفين معتادون على الموافقة السريعة على إشعارات زووم، ويستغل المهاجمون هذه العادة لتجاوز حتى دفاعات المستخدمين ذوي الخبرة. وتربط الشركة هذه الحملة مباشرةً بالحوادث البارزة الأخيرة، مثل اختراق شركة "بايبت" بقيمة 1.5 مليار دولار، والذي اعتمد أيضًا على التلاعب بسير العمل المشروع بدلاً من استغلال ثغرات في الأكواد البرمجية.

الحماية من تهديد المذنب المراوغ

التداعيات الأوسع نطاقًا مثيرة للقلق: مع نضج صناعة البلوك تشين، يُحوّل المهاجمون تركيزهم من الثغرات التقنية إلى نقاط الضعف البشرية. أصبح الأمن التشغيلي - حماية عمليات المستخدمين وقراراتهم - بنفس أهمية الحماية من عيوب البرمجيات.

ردًا على ذلك، اتخذت شركة Trail of Bits إجراءات صارمة، حيث عطّلت خاصية التحكم عن بُعد في Zoom، ومنعت أذونات الوصول التي تُمكّن من وقوع مثل هذه الهجمات، دون التأثير على الاستخدام الاعتيادي لمؤتمرات الفيديو. وتحثّ الشركة المؤسسات والأفراد في قطاع العملات المشفرة على القيام بالمثل، ومراجعة إعدادات Zoom الخاصة بهم، وتوعية المستخدمين بمخاطر قبول طلبات مشاركة الشاشة والتحكم عن بُعد دون وعي.

مع خسارة الملايين بالفعل واستمرار المهاجمين في تطوير أساليبهم، فإن الرسالة واضحة: لا تتعامل مع أدوات مؤتمرات الفيديو على أنها خالية من المخاطر. إذا كنت تتداول أو تستثمر أو تعمل في قطاع العملات المشفرة، ففكر مليًا قبل قبول طلبات اجتماعات غير متوقعة، ولا توافق أبدًا على أي طلب تحكم عن بُعد دون التأكد التام من شرعيته. قد يبدو التهديد كالمعتاد، لكن المخاطر لم تكن يومًا بهذا القدر من الخطورة.