تجتاح موجة جديدة من البرامج الضارة للعملات المشفرة عالم الأصول الرقمية ، وهذه المرة أصبح الممثلون أكثر حكمة وتنوعا من أي وقت مضى. في طليعة الموجة الجديدة ، يوجد أمين المكتبة Ghouls ، وهي مجموعة (APT) تهديدات مستمرة متقدمة تركز على روسيا ، و Crocodilus ، وهو سارق عبر الأنظمة الأساسية له جذور في أحصنة طروادة المصرفية التي تعمل بنظام Android.
"تستخدم الحملة الأخيرة لأشباح الأمناء برامج شرعية مثل AnyDesk لإخفاء عمال المناجم للعملات الرقمية وبرامج تسجيل المفاتيح. بمجرد دخولهم، يصبحون صامتين - حتى منتصف الليل."
— كاسبرسكي استخبارات التهديد ( 9 يونيو 2025 )
غيلان المكتبة: البرمجيات الخبيثة "الشرعية"
تقوم مجموعة APT هذه بت disguise الهجمات على أنها مستندات روتينية ( مثل أوامر الدفع ) في رسائل البريد الإلكتروني الاحتيالية. بمجرد فتحها، فإن البرمجيات الخبيثة الخاصة بهم:
يقوم بتثبيت 4t Tray Minimizer لإخفاء العمليات الخبيثة.
ينشر AnyDesk للوصول عن بُعد و XMRig للتعدين على Monero.
يسرق بيانات اعتماد محفظة التشفير ومفاتيح التسجيل.
جديد في 2025: تفعيل منتصف الليل - البرمجيات الخبيثة تعمل فقط في الليل لتجنب الكشف.
هجماتهم ليست مجرد سرقة عنيفة - بل إنهم يجمعون بين الخبرة التقنية والإكراه النفسي، ويضربون في كل خطوة من دورة العملات المشفرة.
لقد قامت كائنات الغول المكتبية أيضًا بتحسين محملها لتتظاهر كتطبيقات تجارية شرعية، وغالبًا ما تزرع البرمجيات الخبيثة في ما يبدو أنه مستندات غير ضارة مثل أوامر الدفع أو الفواتير. عندما يقوم الضحية بعد ذلك بتنفيذ الملف، تقوم مثبتات البرمجيات الخبيثة بهدوء بتثبيت برامج مثل 4t Tray Minimizer لإخفاء آثارها وAnyDesk للتحكم عن بُعد.
لكن ما هو فريد حقًا في هذه المجموعة هو أنها تستخدم المحفزات المعتمدة على الوقت: حيث يتم تفعيل البرمجيات الخبيثة فقط في الليل، مما يقلل من فرص اكتشافها من قبل فرق الأمان خلال ساعات العمل. تقوم بذلك باستخدام استراتيجية ليلية تسمح لها بسرقة بيانات محفظة العملات، وتعدين Monero باستخدام XMRig، واستخراج البيانات الحساسة دون كشف.
قد لا يدرك الضحايا حتى أن هناك شيئًا غير صحيح حتى بعد أسابيع، عندما تكون محافظهم قد تم تصريفها عادةً وأنظمتهم قد تم تعريضها للاختراق بشكل يتجاوز الاستعادة البسيطة.
كروكوديلوس: جامع عبارة البذور
في الأصل برنامج خبيث مصرفي تركي، يستهدف Crocodilus الآن مستخدمي العملات المشفرة العالميين عبر:
تطبيقات مزيفة تتنكر في شكل Coinbase أو MetaMask أو أدوات التعدين.
مجارف عبارات البذور الآلية التي تقوم بفحص الأجهزة بحثًا عن بيانات المحفظة.
الهندسة الاجتماعية من خلال جهات اتصال "دعم البنك" المزيفة في هاتفك.
"يستخرج محلل كروكوديليس الجديد عبارات الاسترداد بدقة جراحية. نقرة واحدة على رابط X مزيف، وستختفي محفظتك."
— فريق ThreatFabric MTI ( 3 يونيو 2025 )
من ناحية أخرى ، تطور Crocodilus بسرعة من تهديد إقليمي إلى تهديد عالمي. لم يعد يقتصر على Android ، بل يستهدف الآن ملحقات المتصفح الضارة ، واستنساخ تطبيقات سطح المكتب ، وحتى روبوتات Telegram لنشر وصولها. الميزة الأكثر فتكا للبرامج الضارة هي قدرتها على سرقة العبارات الأولية من بيانات الحافظة ولقطات الشاشة وبيانات الملء التلقائي ، وأحيانا حتى قبل أن يدرك الضحية أنها مستهدفة.
بدأت الجهات الفاعلة في التهديد في توفير الوصول إلى المحافظ المخترقة للبيع في منتديات الشبكة المظلمة ، مما أدى إلى إنشاء سوق سوداء مزدهرة لأصول العملات المشفرة المسروقة التي تنمو من حيث الحجم والتعقيد. في بعض الأحيان ، يرسل Crocodilus رسائل غير مرغوب فيها إلى أرقام "دعم" بريئة على هواتف الضحايا ، مما يخدع المستخدمين لتقديم معلومات حساسة تحت ستار الدعم الفني.
روابط X مزيفة: الآن مع التزييف العميق في الوقت الحقيقي
يستغل القراصنة X (Twitter) بـ:
حسابات موثوقة مخترقة تروج لعمليات توزيع رمزية احتيالية.
رموز QR مرتبطة بعقود ذكية تستنزف المحفظة.
دردشات دعم الذكاء الاصطناعي العميق التي تحاكي الوكلاء الحقيقيين.
مثال حقيقي: في مايو 2025، بث مباشر مزيف لـ “إيلون ماسك” حث المشاهدين على مسح رمز الاستجابة السريعة للحصول على هدية “تسلا كوين”. وقد خسر الضحايا أكثر من 200 ألف دولار في 30 دقيقة.
أحد أكثر الاتجاهات تهديدا هو تطوير محادثات دعم التزييف العميق في الوقت الفعلي. يستخدم المتسللون الصور الرمزية المتأثرة ب الذكاء الاصطناعي لانتحال شخصية العلامات التجارية أو المؤثرين المعترف بهم على X (Twitter) ، مما يوفر "مساعدة" تفاعلية أصلية تجذب الضحايا إلى مشاركة عبارتهم الأولية أو مفتاحهم الخاص.
التزييف العميق مقنع للغاية لدرجة أنه حتى مستخدمي التشفير المخضرمين قد وقعوا فيها ، حيث تحاكي الصور الرمزية الصوت والنبرة وحتى لغة الجسد لشخصيات معترف بها في المجتمع.
في واحدة من أبرز الحالات، بث مباشر مزيف "إيلون ماسك" على X أعلن عن هدية وهمية لتسلا كوين وحقق خسائر تقدر بمئات الآلاف من الدولارات في غضون بضع دقائق.
نصائح OPSEC: كيف تبقى آمناً
من دليل كويلاوديتس 2025:
| العمل | لماذا هو مهم |
| --- | --- |
| استخدم جهاز مخصص | عزل نشاط التشفير عن التصفح اليومي |
| إلغاء التفويضات | البرمجيات الخبيثة لا يمكنها سحب الأموال من المحافظ التي قمت بقفلها |
| تجنب الواي فاي العامة | كروكوديلوس يزدهر على الشبكات غير المؤمنة |
| تحقق من X الروابط غير متصل بالإنترنت | تختفي عمليات الاحتيال بالتزييف العميق عند التحقق المتقاطع |
لحماية المستخدمين من مثل هذه التهديدات، سيتعين عليهم استخدام نهج OPSEC متعدد الطبقات. يوصي الخبراء باستخدام محافظ الأجهزة للاستثمارات عالية القيمة، وتمكين المصادقة الثنائية، وعدم مشاركة عبارات الاسترداد - حتى مع موظفي الدعم المفترضين أو الحسابات الاجتماعية المشروعة.
يمكن أن تقلل الفحوصات المنتظمة لموافقة المحفظة، والحفاظ على تحديث البرامج، وفصل العمليات الرقمية في أجهزة ذات استخدام واحد من المخاطر بالمثل. مع تزايد ابتكار المهاجمين وابتكاراتهم، فإن أفضل دفاع هو أن تظل مطلعًا جيدًا وأن تكون متشككًا بشكل كاف.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
هل يمكنك الوثوق بأن مجال العملات الرقمية الخاص بك آمن أثناء نومك؟
تجتاح موجة جديدة من البرامج الضارة للعملات المشفرة عالم الأصول الرقمية ، وهذه المرة أصبح الممثلون أكثر حكمة وتنوعا من أي وقت مضى. في طليعة الموجة الجديدة ، يوجد أمين المكتبة Ghouls ، وهي مجموعة (APT) تهديدات مستمرة متقدمة تركز على روسيا ، و Crocodilus ، وهو سارق عبر الأنظمة الأساسية له جذور في أحصنة طروادة المصرفية التي تعمل بنظام Android.
غيلان المكتبة: البرمجيات الخبيثة "الشرعية"
تقوم مجموعة APT هذه بت disguise الهجمات على أنها مستندات روتينية ( مثل أوامر الدفع ) في رسائل البريد الإلكتروني الاحتيالية. بمجرد فتحها، فإن البرمجيات الخبيثة الخاصة بهم:
جديد في 2025: تفعيل منتصف الليل - البرمجيات الخبيثة تعمل فقط في الليل لتجنب الكشف.
هجماتهم ليست مجرد سرقة عنيفة - بل إنهم يجمعون بين الخبرة التقنية والإكراه النفسي، ويضربون في كل خطوة من دورة العملات المشفرة.
لقد قامت كائنات الغول المكتبية أيضًا بتحسين محملها لتتظاهر كتطبيقات تجارية شرعية، وغالبًا ما تزرع البرمجيات الخبيثة في ما يبدو أنه مستندات غير ضارة مثل أوامر الدفع أو الفواتير. عندما يقوم الضحية بعد ذلك بتنفيذ الملف، تقوم مثبتات البرمجيات الخبيثة بهدوء بتثبيت برامج مثل 4t Tray Minimizer لإخفاء آثارها وAnyDesk للتحكم عن بُعد.
لكن ما هو فريد حقًا في هذه المجموعة هو أنها تستخدم المحفزات المعتمدة على الوقت: حيث يتم تفعيل البرمجيات الخبيثة فقط في الليل، مما يقلل من فرص اكتشافها من قبل فرق الأمان خلال ساعات العمل. تقوم بذلك باستخدام استراتيجية ليلية تسمح لها بسرقة بيانات محفظة العملات، وتعدين Monero باستخدام XMRig، واستخراج البيانات الحساسة دون كشف.
قد لا يدرك الضحايا حتى أن هناك شيئًا غير صحيح حتى بعد أسابيع، عندما تكون محافظهم قد تم تصريفها عادةً وأنظمتهم قد تم تعريضها للاختراق بشكل يتجاوز الاستعادة البسيطة.
كروكوديلوس: جامع عبارة البذور
في الأصل برنامج خبيث مصرفي تركي، يستهدف Crocodilus الآن مستخدمي العملات المشفرة العالميين عبر:
من ناحية أخرى ، تطور Crocodilus بسرعة من تهديد إقليمي إلى تهديد عالمي. لم يعد يقتصر على Android ، بل يستهدف الآن ملحقات المتصفح الضارة ، واستنساخ تطبيقات سطح المكتب ، وحتى روبوتات Telegram لنشر وصولها. الميزة الأكثر فتكا للبرامج الضارة هي قدرتها على سرقة العبارات الأولية من بيانات الحافظة ولقطات الشاشة وبيانات الملء التلقائي ، وأحيانا حتى قبل أن يدرك الضحية أنها مستهدفة.
بدأت الجهات الفاعلة في التهديد في توفير الوصول إلى المحافظ المخترقة للبيع في منتديات الشبكة المظلمة ، مما أدى إلى إنشاء سوق سوداء مزدهرة لأصول العملات المشفرة المسروقة التي تنمو من حيث الحجم والتعقيد. في بعض الأحيان ، يرسل Crocodilus رسائل غير مرغوب فيها إلى أرقام "دعم" بريئة على هواتف الضحايا ، مما يخدع المستخدمين لتقديم معلومات حساسة تحت ستار الدعم الفني.
روابط X مزيفة: الآن مع التزييف العميق في الوقت الحقيقي
يستغل القراصنة X (Twitter) بـ:
مثال حقيقي: في مايو 2025، بث مباشر مزيف لـ “إيلون ماسك” حث المشاهدين على مسح رمز الاستجابة السريعة للحصول على هدية “تسلا كوين”. وقد خسر الضحايا أكثر من 200 ألف دولار في 30 دقيقة.
أحد أكثر الاتجاهات تهديدا هو تطوير محادثات دعم التزييف العميق في الوقت الفعلي. يستخدم المتسللون الصور الرمزية المتأثرة ب الذكاء الاصطناعي لانتحال شخصية العلامات التجارية أو المؤثرين المعترف بهم على X (Twitter) ، مما يوفر "مساعدة" تفاعلية أصلية تجذب الضحايا إلى مشاركة عبارتهم الأولية أو مفتاحهم الخاص.
التزييف العميق مقنع للغاية لدرجة أنه حتى مستخدمي التشفير المخضرمين قد وقعوا فيها ، حيث تحاكي الصور الرمزية الصوت والنبرة وحتى لغة الجسد لشخصيات معترف بها في المجتمع.
في واحدة من أبرز الحالات، بث مباشر مزيف "إيلون ماسك" على X أعلن عن هدية وهمية لتسلا كوين وحقق خسائر تقدر بمئات الآلاف من الدولارات في غضون بضع دقائق.
نصائح OPSEC: كيف تبقى آمناً
من دليل كويلاوديتس 2025:
| العمل | لماذا هو مهم | | --- | --- | | استخدم جهاز مخصص | عزل نشاط التشفير عن التصفح اليومي | | إلغاء التفويضات | البرمجيات الخبيثة لا يمكنها سحب الأموال من المحافظ التي قمت بقفلها | | تجنب الواي فاي العامة | كروكوديلوس يزدهر على الشبكات غير المؤمنة | | تحقق من X الروابط غير متصل بالإنترنت | تختفي عمليات الاحتيال بالتزييف العميق عند التحقق المتقاطع |
لحماية المستخدمين من مثل هذه التهديدات، سيتعين عليهم استخدام نهج OPSEC متعدد الطبقات. يوصي الخبراء باستخدام محافظ الأجهزة للاستثمارات عالية القيمة، وتمكين المصادقة الثنائية، وعدم مشاركة عبارات الاسترداد - حتى مع موظفي الدعم المفترضين أو الحسابات الاجتماعية المشروعة.
يمكن أن تقلل الفحوصات المنتظمة لموافقة المحفظة، والحفاظ على تحديث البرامج، وفصل العمليات الرقمية في أجهزة ذات استخدام واحد من المخاطر بالمثل. مع تزايد ابتكار المهاجمين وابتكاراتهم، فإن أفضل دفاع هو أن تظل مطلعًا جيدًا وأن تكون متشككًا بشكل كاف.