MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Crypto

Cybercriminals Clone Antivirus Site to Spread Venom RAT and Steal Crypto Wallets


مجرمو الإنترنت ينسخون موقع مكافحة الفيروسات لنشر فيروس Venom RAT وسرقة محافظ العملات الرقمية

27 مايو 2025

كشف باحثو الأمن السيبراني عن حملة خبيثة جديدة تستهدف المستخدمين من خلال موقع مزيف يدّعي تقديم برنامج مكافحة الفيروسات "Bitdefender"، ويهدف إلى خداع الضحايا لتنزيل حصان طروادة للتحكم عن بُعد يُعرف باسم Venom RAT.

بحسب تقرير جديد من فريق DomainTools Intelligence (DTI)، فإن هذه الحملة توضح نية واضحة لاستهداف الأفراد لأغراض مالية من خلال سرقة بياناتهم، محافظ العملات الرقمية، بل وحتى بيع الوصول إلى أجهزتهم.

كيف تتم الهجمة؟

يتم الترويج لموقع مزيف بعنوان:

bitdefender-download[.]com

عند النقر على زر التحميل، يتم تنزيل ملف من مستودع Bitbucket يعيد التوجيه إلى Amazon S3. الملف يحتوي على برمجية تنفيذية باسم StoreInstaller.exe مرفقة داخل ملف مضغوط باسم BitDefender.zip.

يتضمن هذا الملف:

  • Venom RAT
  • SilentTrinity - أداة ما بعد الاختراق
  • StormKitty - برنامج لسرقة كلمات المرور والمحافظ الرقمية

ما هو Venom RAT؟

هو نسخة معدّلة من Quasar RAT، يتيح للمهاجمين الوصول المستمر إلى الجهاز وسرقة البيانات الحساسة.

أشارت التقارير إلى أن هذا الموقع المزيف له علاقة ببنية تحتية استخدمت مسبقًا لانتحال هوية بنوك وشركات تقنية مثل:

  • Royal Bank of Canada
  • Microsoft

"تعمل هذه الأدوات بشكل متكامل: Venom RAT يدخل للنظام، StormKitty يسرق البيانات، وSilentTrinity يحافظ على سيطرة المهاجم" - DomainTools

الاتجاه الجديد: البرمجيات الخبيثة المركبة

يقوم القراصنة باستخدام أدوات مفتوحة المصدر لبناء برمجيات خبيثة بطريقة مرنة وأكثر تطورًا، مما يجعل اكتشافها أصعب وتأثيرها أكبر.

حملة جديدة عبر صفحات Google Meet المزيفة

حذرت شركة Sucuri من حملة تستخدم صفحات وهمية تُقلد Google Meet، وتطلب من المستخدم تنفيذ أوامر PowerShell مشبوهة بحجة "رفض إذن الميكروفون".

موجة تصيد جديدة باستخدام منصة AppSheet من Google

رصدت KnowBe4 Threat Lab حملة تصيد متطورة تستهدف مستخدمي Meta باستخدام AppSheet لإرسال رسائل بريد إلكتروني من نطاق موثوق:

noreply@appsheet[.]com

يتم خداع المستخدمين برسائل تنذرهم بحذف الحساب خلال 24 ساعة وتطلب منهم تقديم "طلب استئناف"، عبر رابط يؤدي إلى صفحة تصيد مصممة لسرقة:

  • بيانات الدخول
  • رموز المصادقة الثنائية (2FA)

كما تستخدم الحملة معرفات فريدة (Case IDs) لتجنب الاكتشاف من أدوات الفحص التقليدية.

التوصيات الأمنية:

  • لا تنقر على الروابط من مصادر مجهولة
  • تأكد دائمًا من المواقع الرسمية قبل تحميل أي برنامج
  • استخدم أدوات حماية موثوقة وحدّثها باستمرار
  • لا تدخل رموز 2FA إلا من داخل التطبيقات الرسمية