EncryptHub تستهدف مطوري Web3 باستخدام منصات ذكاء اصطناعي مزيفة لنشر برمجية Fickle Stealer
EncryptHub Targets Web3 Developers with Fake AI Platforms
إعداد: مايسترو نيرو - قسم الأمن السيبراني
كشف باحثون في الأمن السيبراني أن مجموعة التهديد EncryptHub (المعروفة أيضاً بـ LARVA-208 وWater Gamayun) تستهدف مطوري Web3 من خلال منصات ذكاء اصطناعي مزيفة لنشر برمجية تجسس تُعرف باسم Fickle Stealer.
قالت شركة PRODAFT السويسرية: "قامت LARVA-208 بتطوير أساليبها عبر إنشاء منصات مزيفة مثل Norlax AI، والتي تُحاكي منصات معروفة مثل Teampilot، لخداع الضحايا من خلال عروض عمل أو مراجعات للمحفظة الشخصية".
لماذا تستهدف مطوري Web3؟
مطورو Web3 غالباً يديرون محافظ رقمية، ويصلون إلى مستودعات العقود الذكية أو بيئات الاختبار، مما يجعلهم أهدافاً ثمينة. الطبيعة اللامركزية لعملهم تصعب حمايتهم بوسائل الحماية التقليدية.
آلية الهجوم
- يتم إرسال روابط مقابلات مزيفة عبر X وتيليجرام، أو مواقع وظائف مثل Remote3.
- تبدأ المحادثة عبر Google Meet ثم يتم تحويل الضحية لمنصة Norlax AI المزيفة.
- يُطلب من الضحية إدخال بريده ورمز دعوة، ثم يتم عرض رسالة خطأ عن تعريف صوت مفقود.
- تحميل ملف مزيف لتعريف Realtek Audio، والذي ينفذ أوامر PowerShell لتنزيل برمجية Fickle Stealer.
مهمة برمجية Fickle Stealer
تقوم بجمع بيانات من محافظ العملات، بيانات اعتماد المطورين، ومعلومات حساسة للمشاريع ثم ترسلها إلى خادم خارجي يُدعى SilentPrism.
"تشير العملية إلى توجه نحو طرق ربح بديلة مثل سرقة وبيع البيانات الحساسة في الأسواق السوداء." - PRODAFT
برمجيات فدية جديدة مرتبطة
ظهرت برمجية فدية جديدة تُسمى KAWA4096، شبيهة بأسلوب مجموعة Akira، واستهدفت 11 شركة منذ يونيو 2025. كما ظهرت برمجية Crux المرتبطة بمجموعة BlackByte، مستخدمة أدوات نظام شرعية مثل svchost.exe و bcdedit.exe لإخفاء أنشطتها.
في إحدى الهجمات، تم استخدام بيانات دخول صحيحة عبر RDP للوصول الأولي، مما يعكس تطور تكتيكات المهاجمين.
توصيات أمنية
- عدم تحميل أي برنامج أو تعريف من منصات غير موثوقة.
- مراقبة أدوات النظام مثل svchost وbcdedit عبر أنظمة EDR.
- استخدام مصادقة متعددة العوامل في حسابات العمل والمحافظ الرقمية.
- مراجعة عروض الوظائف عبر مواقع رسمية فقط.
آخر تحديث: 20 يوليو 2025