يستهدف هجوم متطور محترفي الويب 3، ويخدعهم لتشغيل أكواد ضارة على أنظمتهم أثناء المقابلات المزيفة كجزء من عرض مربح من المحتالين في مجال العملات المشفرة المتنكرين في هيئة موظفين.
في 28 ديسمبر، أشار المحقق في سلسلة العملات المشفرة، تايلور موناهان، إلى مخطط جديد يستغله جهات فاعلة سيئة تدعي أنها من المجندين لشركات التشفير البارزة لمقاربة الأهداف بعروض عمل مربحة على منصات مثل LinkedIn ومنصات العمل المستقل وTelegram وما إلى ذلك.
بمجرد أن يصبح الضحية مهتمًا، يتم إعادة توجيهه إلى منصة مقابلات الفيديو التي يطلق عليها "Willo | Video Interviewing"، والتي ليست خبيثة في حد ذاتها ولكنها مصممة لجعل المخطط بأكمله يبدو مقنعًا للضحايا.
وكجزء من العملية، يتم في البداية طرح أسئلة قياسية متعلقة بالصناعة على الضحايا، مثل آرائهم بشأن الاتجاهات المهمة للعملات المشفرة على مدى الأشهر الاثني عشر المقبلة. وتساعد هذه الأسئلة في بناء الثقة وجعل التفاعل يبدو مشروعًا.
ولكن الهجوم الحقيقي يبدأ أثناء السؤال الأخير، والذي يتطلب تسجيله بالفيديو. وعند محاولة إعداد عملية تسجيل الفيديو، يواجه الضحايا مشكلة فنية في الميكروفون أو الكاميرا.
وهنا يبدأ الهجوم الحقيقي، حيث يعرض الموقع خطوات استكشاف الأخطاء وإصلاحها الضارة على أنها حل للمشكلة.
وبحسب موناهان، إذا اتبع المستخدم الخطوات، التي تتضمن في بعض الحالات تنفيذ أوامر على مستوى النظام اعتمادًا على أنظمة التشغيل الخاصة به، فإن ذلك يمنح المهاجمين إمكانية الوصول الخلفي إلى أجهزتهم.
"إنه يسمح لهم بفعل أي شيء على جهازك. إنه ليس في الحقيقة سرقة عامة، بل هو وصول عام. وفي النهاية سوف يهاجمونك عبر أي وسيلة مطلوبة"، كما كتب موناهان.
من المحتمل أن يسمح هذا الوصول للجهات الخبيثة بتجاوز تدابير الأمان، وتثبيت البرامج الضارة، ومراقبة الأنشطة، وسرقة البيانات الحساسة، أو استنزاف محافظ العملات المشفرة دون علم الضحية، بناءً على النتائج النموذجية التي لوحظت في هجمات مماثلة.
ونصح موناهان مستخدمي العملات المشفرة بتجنب تشغيل أكواد غير مألوفة، وأوصى أولئك الذين ربما تعرضوا لمثل هذه الهجمات بمسح أجهزتهم بالكامل لمنع المزيد من الاختراق.
وتنحرف هذه الهجمة عنالتكتيكات المعتادة التي نراها في عمليات الاحتيال المماثلة في مجال توظيف العمالة. على سبيل المثال، كشفت شركة الأمن السيبراني Cado Security Labs في وقت سابق من هذا الشهر عن مخطط يتضمن تطبيق اجتماعات مزيفًا يحقن البرامج الضارة، مما يتيح للمهاجمين استنزاف محافظ العملات المشفرة وسرقة بيانات الاعتماد المخزنة في المتصفح.
وعلى نحو مماثل، أبلغ موقع crypto.news العام الماضي عن حادثة استهدف فيها المحتالون مطوري blockchain على Upwork، وأعطوهم تعليمات بتنزيل وتصحيح أخطائهم في حزم npm الخبيثة المستضافة على مستودع GitHub. وبمجرد تنفيذها، تنشر هذه الحزم نصوصًا تمنح المهاجمين إمكانية الوصول عن بُعد إلى أجهزة الضحايا.
