حملة 'كليبر' جديدة تستغل AI ومراجعات مزيفة لسرقة العملات المشفرة

مقدمة تحليلية

كشفت أبحاث Check Point الأخيرة عن حملة برمجيات خبيثة متطورة تُعرف باسم 'كليبر' (clipper)، تستهدف مستخدمي العملات المشفرة من خلال تكتيكات هندسة اجتماعية معقدة وغير مسبوقة. تستغل هذه الحملة مجموعة واسعة من المنصات الرقمية لبناء سمعة مزيفة لأدواتها الخبيثة، بما في ذلك التلاعب بالمراجعات على مواقع الأخبار الشرعية، واستخدام رواة بالذكاء الاصطناعي (AI narrators) في مقاطع الفيديو التعليمية، والتلاعب بمنصات مثل VirusTotal و GitHub. الهدف النهائي هو تثبيت برنامج خبيث على أنظمة Windows و macOS يقوم باعتراض عناوين محافظ العملات المشفرة في الحافظة واستبدالها بعناوين يتحكم فيها المهاجمون، مما يؤدي إلى سرقة الأصول الرقمية. تستهدف هذه الحملة بشكل خاص حاملي العملات المشفرة والمقامرين عبر الإنترنت الذين يبحثون عن طرق مختصرة وأرباح سريعة، مما يسلط الضوء على تزايد تعقيد الهجمات السيبرانية التي تستغل الثقة الرقمية.

التحليل التقني

تعتمد حملة 'الكليبر' هذه على برنامج خبيث مكتوب بلغة Rust ويستهدف بشكل فعال أنظمة التشغيل Windows و macOS. يُخفى هذا البرنامج الخبيث ضمن أدوات مزيفة مثل Solana و Pump.fun sniper bots ومُتنبئات ألعاب الحوادث (crash-game predictors). آلية عمل البرنامج تقوم على مراقبة مستمرة لحافظة النظام (clipboard) بحثًا عن أنماط تتوافق مع عناوين محافظ العملات المشفرة. عند اكتشاف تطابق، يقوم البرنامج فورًا باستبدال العنوان الأصلي بعنوان آخر يسيطر عليه المهاجمون، ويتم سحب هذا العنوان من قائمة مُحددة مسبقًا داخل الكود البرمجي للبرنامج الخبيث، مما يحوّل الأصول الرقمية إلى المهاجمين. تُعد البنية التحتية للترويج والتوزيع لهذه الحملة معقدة ومتعددة الأوجه:

• صفحة تصيد على WordPress: تعمل كمركز رئيسي للحملة، حيث يتم توجيه الضحايا المحتملين إليها.
• مشاريع على GitHub و SourceForge: يتم الترويج لهذه المشاريع من خلال حسابات وهمية متعددة. لوحظ أن أحد مستودعات GitHub قد حصل على 146 نجمة و 62 تفريعًا (forks) بشكل مصطنع. على SourceForge، وصل عدد التنزيلات إلى 44,485، منها 37,460 يُزعم أنها من أجهزة Android، على الرغم من أن المطور يقدم إصدارات لـ Windows و macOS فقط، مما يشير إلى استخدام مزارع أجهزة Android لتضخيم الأعداد.
• قناة YouTube مخصصة: تضم أكثر من 91,000 مشترك، أُنشئت في يوليو 2020، وتدّعي أنها لأغراض تعليمية فقط. تحتوي مقاطع الفيديو التعليمية على رواة مُولّدين بالذكاء الاصطناعي (AI-generated narrators) وتعليقات إيجابية مزيفة لتعزيز وهم الشعبية والموثوقية.
• التلاعب بسمعة VirusTotal: يستخدم المهاجمون ما يُعرف بـ 'شبكات الأشباح' (Ghost Networks) للتلاعب بأنظمة قيادة السمعة مثل VirusTotal، بهدف تقليل الشك وزيادة ثقة الضحايا في الملفات الخبيثة من خلال التصويت الإيجابي والتعليقات المرتفعة.
• خدمات توزيع البيانات الصحفية: لجأ المهاجمون إلى استخدام خدمات مثل EIN Presswire لتسويق قدرات أدواتهم المزعومة. وقد تم تداول البيانات الصحفية عبر شبكة USA TODAY Network والعديد من المواقع الإخبارية الشريكة، مما أضفى شرعية زائفة على أنشطتهم.

هذه الأساليب مجتمعة تُظهر مستوى عاليًا من التنسيق والبراعة في الهندسة الاجتماعية والتلاعب بالأنظمة الرقمية لإخفاء النوايا الخبيثة وزيادة فرص النجاح.

السياق وتأثير السوق

تُمثل حملة 'الكليبر' هذه تحولاً نوعياً في مشهد التهديدات السيبرانية، حيث لم يعد التركيز فقط على استغلال الثغرات التقنية، بل امتد ليشمل التلاعب بالثقة الرقمية على نطاق واسع. تاريخياً، لم تكن برامج اعتراض الحافظة (clipboard hijackers) بالجديدة، لكن ما يميز هذه الحملة هو استخدامها الشامل لـ 'لعبة العلامات التجارية' الشرعية لتضليل الضحايا. فبدلاً من الاختراقات المباشرة، يتبنى المهاجمون استراتيجيات تسويقية مشابهة لتلك التي تستخدمها الشركات لبناء سمعتها: أعداد تنزيل مُضخمة، مراجعات منسقة بخمس نجوم، ومقاطع فيديو تعليمية بأسلوب المؤثرين، والترويج على منصات يثق بها الناس غريزيًا. يُشكل هذا التكتيك تهديدًا خطيرًا لسوق العملات المشفرة والمستخدمين بشكل عام، حيث يُضعف الثقة في مؤشرات المصداقية التي يعتمد عليها الكثيرون. على سبيل المثال، تؤثر القدرة على تضليل منصة مثل VirusTotal، التي تُعد مرجعًا أمنيًا للعديد من المستخدمين والشركات، بشكل كبير على قرارات التحميل والثقة في الملفات. كما أن استغلال قنوات YouTube وخدمات البيانات الصحفية يمحو الخط الفاصل بين المحتوى الشرعي والضار، مما يجعل التمييز أكثر صعوبة على المستخدم العادي. تأثير السوق يمتد إلى ما هو أبعد من مجرد سرقة العملات المشفرة. إن نجاح مثل هذه الحملات يمكن أن يؤدي إلى تبني هذه الاستراتيجيات من قبل مجموعات أخرى من المهاجمين لتوزيع أنواع أكثر خطورة من البرمجيات الخبيثة، مثل برامج سرقة المعلومات (information stealers) أو برامج الفدية (ransomware)، واستهداف ضحايا ذوي قيمة أعلى. هذا التطور يضع ضغطًا إضافيًا على المنصات الرقمية لتعزيز آليات اكتشاف الاحتيال وتعزيز المصداقية، كما يتطلب من المستخدمين مستوى أعلى من اليقظة والتدقيق قبل الثقة بأي محتوى أو برنامج يتم الترويج له عبر الإنترنت.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُعد حملة 'الكليبر' هذه بمثابة جرس إنذار حول الطبيعة المتطورة للهجمات السيبرانية التي تعتمد بشكل متزايد على الهندسة الاجتماعية المعقدة والتلاعب بالسمعة الرقمية. إن الاعتماد على رواة الذكاء الاصطناعي والمراجعات المزيفة على منصات موثوقة مثل GitHub و VirusTotal يُمثل نقطة تحول خطيرة، حيث يصبح التمييز بين المصادر الشرعية والضارة أمرًا بالغ الصعوبة حتى بالنسبة للمستخدمين الأكثر وعيًا بالتقنية. نرى أن أحد القيود الرئيسية في مواجهة هذه التكتيكات هو أن حلول الأمن التقليدية قد لا تكون كافية لاكتشاف التهديد عندما يكون متجذراً في طبقات عميقة من الخداع البشري والنفسي. بدلاً من البحث عن تواقيع برمجية محددة، يتوجب التركيز على تحليل سلوك المستخدمين والتفاعل مع المحتوى المشبوه. تُثير هذه الحملة مخاوف أمنية عميقة تتعلق بالثقة في منظومة التقييمات والمراجعات الرقمية. عندما يمكن تضخيم أعداد التنزيلات والنجوم والتعليقات بشكل مصطنع، فإن الأساس الذي يبني عليه المستخدمون ثقتهم في البرامج والخدمات يهتز. كما أن استخدام الذكاء الاصطناعي لإضفاء لمسة احترافية على المحتوى الخادع يزيد من مصداقيته الظاهرية ويجعل الكشف أصعب بكثير. نتوقع أن تشهد الفترة القادمة تصعيدًا في استخدام الذكاء الاصطناعي لإنشاء محتوى مضلل أكثر إقناعًا، وفي أتمتة حملات الهندسة الاجتماعية على نطاق أوسع. قد نرى أيضًا ابتكارًا في طرق التلاعب بمنصات جديدة، مما يتطلب من شركات الأمن الرقمي والمنصات نفسها تطوير آليات دفاع أكثر تطوراً تعتمد على الذكاء الاصطناعي لاكتشاف الأنشطة المشبوهة وأنماط التلاعب بالسلوك. على المستخدمين، يقع عاتق أكبر في توخي الحذر الشديد، والتحقق المزدوج من مصادر البرامج، وتجاهل الإغراءات بالحلول السريعة أو الأرباح السهلة التي غالبًا ما تكون غطاءً لبرامج ضارة. يجب على الجميع أن يتذكر أن الثقة الرقمية أصبحت سلعة ثمينة يسهل استغلالها. Glitch4Techs توصي بضرورة تطبيق مبدأ 'عدم الثقة مطلقًا' (Zero Trust) على المحتوى والبرمجيات التي يتم الحصول عليها من مصادر غير رسمية ومجهولة.