$100K Returned — Malvertising Scam Foiled
انتحل محتالون روس هوية مشروع للعملات المشفرة باستخدام الإعلانات الخبيثة وبرامج ضارة لسرقة البيانات. وقد اكتشفنا هذه العملية، وأعدنا الوصول إلى المحافظ، وأعدنا أكثر من 100 ألف دولار. وتم التبرع بالأموال الإضافية التي تم استردادها إلى @_SEAL_Org. وفيما يلي: تفاصيل العملية، ومؤشرات الاهتمام (IOCs)، والدروس المستفادة.

نظرة عامة
وقع مشروع للعملات المشفرة ضحية لهجوم هندسي اجتماعي تم التستر عليه على أنه شراكة إعلانية مشروعة. وقامت شركة PhishDestroy باستعادة الوصول إلى المحفظة واسترداد الأموال أكثر من 100,000 دولار في الأموال المخترقة، ثم أعاد توجيه المكافأة المعروضة إلى منظمة خارجية حفاظًا على استقلاله.
ما تحتاج إلى معرفته
- كانت المحفظة قد تعرضت للاختراق بالفعل؛ وقد تم تحويل الأموال بالفعل.
- تمت استعادة الخدمة و $100K+ تم منعه من البقاء مع المعتدي.
- وقد عرض المشروع مكافأة، لكنها رُفضت وحُولت إلى @_SEAL_Org بدلاً من ذلك.
- يتم تنفيذ هذا العمل بشكل مستقل كجهد شخصي، وليس كوظيفة مدفوعة الأجر.
كيف كانت تعمل عملية الاحتيال هذه
- تلقى الضحية عرضًا للشراكة أو الإعلان عن لعبة تعمل بالعملات المشفرة.
- بدا الهجوم مقنعاً: موقع إلكتروني احترافي، وحضور راسخ على X (Twitter)، ومكالمات فيديو تبدو شرعية.
- خلال المكالمات، طلب المهاجمون تثبيت «برنامج عرض محتويات مكان العمل» للوصول إلى المواد.
- كان «المشاهد» هو برنامج ضار لسرقة البيانات.
- قام المهاجمون بسحب الأموال، وتبادل الرموز عبر السلاسل المختلفة، ونقل الأصول إلى محافظهم الخاصة.
الإجراءات التي تم اتخاذها استجابةً لذلك
- تم التأكد من حدوث اختراق، وتم إيقاف أي تحركات أخرى.
- تمت إعادة حق الوصول إلى المحفظة لمالكها الشرعي.
- تم تأمين محفظة الاستلام الخاصة بالمهاجم وإعادة تخصيص السيطرة عليها لفريق الضحية.
- خطوات متابعة منسقة للحد من المخاطر المتبقية.
تعزيز الأمان بعد وقوع الحادث
أمن الأجهزة
- إرشادات تفصيلية للتعامل مع الأجهزة المصابة بأمان
- عزل الشبكة، وإلغاء الجلسات، وتناوب بيانات الاعتماد/المفاتيح، وخطة إعادة البناء النظيفة
الإعداد التشغيلي
- محطة عمل جديدة ونظيفة مخصصة لعمليات المحفظة
- نظام تشغيل جديد، تنزيلات حصرية من المورد، محفظة أجهزة، عدد قليل من الإضافات، ملف تعريف متصفح منفصل، المصادقة الثنائية (2FA)
التحضير لفحوصات الطب الشرعي
- إرشادات حول اللقطات القرصية وجمع سجلات النظام والتطبيقات
- حفظ الأدلة تحسبًا لإجراء تحقيق قانوني محتمل
فهم مفهوم «التحويل»
الإعلان وهي عبارة عن هندسة اجتماعية على غرار الأعمال التجارية، حيث يقلد المجرمون سير العمل العادي (شراء الإعلانات، والشراكات، والعلاقات العامة) لخداع المستخدمين وتثبيت «برامج عميل» ضارة.
علامات التحذير الشائعة:
- "قم بتثبيت أداة إدارة الإعلانات/المساعد الخاصة بنا لمزامنة العناصر الإعلانية"
- "استخدم عميل Zoom/Telegram المخصص لدينا لإجراء المكالمة"
- "افتح ملفنا الإعلامي/اتفاقية عدم الإفشاء عبر عارض آمن"
المكافأة والاستقلالية
- وقد عرض المشروع مكافأة لأن المبلغ المسترد تجاوز الخسارة الأولية.
- رفض «PhishDestroy» الاحتفاظ بالمكافأة.
- وقد تم توجيه الفائض بأكمله إلى @_SEAL_Org.
- وهذا يحافظ على الاستقلالية — فلا توجد مصادر تمويل أو التزامات.
المبادئ الأساسية
- الاستقلال التام — دون أي ميزانيات أو شروط.
- النهج الذي يركز على النتائج بدلاً من المناقشة.
- معارضة أي «عملاء خاصين» أو برامج غير مُثبتة.
- الكشف الانتقائي الذي يساعد الضحايا، وليس الجهات التي تشكل تهديدًا.
- الضغط المباشر على البنية التحتية للمهاجمين.
توصيات عملية
للمشاريع والفرق
- لا تقم أبدًا بتثبيت برامج العرض أو العملاء أو برامج التحديث الخاصة بمكان العمل من جهات خارجية غير موثوق بها.
- احرص على تنزيل تطبيقي Zoom وTelegram من المواقع الرسمية للمطورين فقط.
- تجنب الروابط الدعائية الخاصة بالمحافظ والجسور وعمليات التوزيع المجاني.
- يفضل استخدام المحافظ المادية التي تتيح تخزين البذرة دون اتصال بالإنترنت.
- في حالة التعرض للاختراق: قم بإلغاء الجلسات، وتحويل الأموال، وتغيير المفاتيح، وإعادة إصدار الأسرار، واطلب المساعدة على الفور.
من أجل المجتمع
- الإبلاغ عن أي نشاط مشبوه عبر روبوتنا على Telegram.
- يمكنك الاطلاع على إرشادات الإجراءات الحاسمة والموارد على phishdestroy.io/إجراء-عاجل.
الخلاصة
على الرغم من أن الأموال قد تم تحويلها بالفعل، فإن PhishDestroy استعادة الوصول وضمنت عدم تمكن المهاجم من الاحتفاظ بالأصول المسروقة. ومن خلال رفض المكافأة وتوجيه الأموال الفائضة إلى جهات أخرى، تحافظ المنظمة على نموذجها التشغيلي المستقل وغير المدفوع الأجر الذي يركز على الاستجابة السريعة والفعالة للحوادث.



