كيف تخدع مكالمات Zoom و Teams المزيفة مطوري العملات المشفرة لتثبيت برمجيات خبيثة

تستهدف حملة برمجيات خبيثة عبر مكالمات Zoom و Teams المزيفة المتخصصين في العملات المشفرة ومطوري الجيل الثالث من الويب (Web3) من خلال اختراق المحادثات الموثوقة. وتعمل هذه الهجمات تحت مظلة مجموعة التهديد UNC1069، حيث يتجاوز المهاجمون مرشحات الأمان التقليدية عن طريق خداع الضحايا لتنفيذ أوامر طرفية خبيثة يدوياً أثناء مكالمات فيديو وهمية.

حدد تحالف الأمان (Security Alliance) المعروف اختصاراً باسم SEAL مؤخراً 164 نطاقاً خبيثاً مرتبطاً بهذه العملية التابعة لجمهورية كوريا الديمقراطية الشعبية (DPRK)، وقام بحظرها. وباستخدام نظام eth-phishing-detect التابع لمحفظة MetaMask، تتبع الباحثون الحملة بين 6 فبراير و 7 أبريل من عام 2026. ورغم تركيز المهاجمين في البداية على مستثمري العملات المشفرة، إلا أنهم يوسعون نطاق وصولهم الآن ليشمل مجتمعات المصادر المفتوحة، مع ارتباطهم مؤخراً بهجوم على سلسلة التوريد يتضمن حزمة npm المعروفة باسم axios.

على عكس محاولات التصيد الاحتيالي القياسية، تعتمد مجموعة UNC1069 على الصبر الشديد والثقة الراسخة. ويخترق المهاجمون حسابات شرعية على منصات مثل تطبيق Telegram أو شبكة LinkedIn أو منصة Slack، ويستأنفون سجلات الدردشة الحالية بسلاسة. وبمجرد أن يشعر الهدف بالراحة، يحدد المتسلل موعداً لاجتماع قبل أيام باستخدام أدوات شرعية مثل تطبيق Calendly لخلق شعور زائف بالطبيعية.

في الوقت المحدد، يتلقى الضحية رابطاً لنطاق مشابه يحاكي تماماً واجهة تطبيق Zoom أو برنامج Microsoft Teams الحقيقية مباشرة في المتصفح. ويبث المهاجمون مقاطع فيديو مسجلة مسبقاً لأشخاص مألوفين مأخوذة من مؤتمرات عامة أو ملفات بودكاست. وينصب الفخ عندما يدرك الضحية أنه لا يستطيع سماع أي صوت.

تحت ستار استكشاف أخطاء تكنولوجيا المعلومات وإصلاحها في الوقت الفعلي، يراسل المهاجم الضحية بتعليمات لإصلاح مشكلة الصوت المزيفة. وبدلاً من ملف تنفيذي تقليدي، يُطلب من الضحية تنزيل ملف AppleScript صغير بصيغة scpt. أو لصق أمر معين مباشرة في موجه الأوامر (Terminal). ولأن المستخدم ينفذ الأمر يدوياً، فإنه يتجاوز تحذيرات الأمان القياسية ويسترد البرامج الخبيثة الفعلية بصمت من خادم القيادة والسيطرة (C2).

بمجرد إصابة النظام، تعين البرمجيات الخبيثة معرفاً فريداً للجهاز وتؤسس وجوداً مستمراً، حيث تتصل بخادم القيادة والسيطرة كل 60 ثانية. ثم ينشر المهاجمون أدوات معيارية مصممة خصيصاً لقيمة الهدف المخترق. ورغم أن البرمجيات الخبيثة تدعم نظام Windows ونظام Linux، يظل نظام macOS هو الهدف الأساسي بسبب استخدامه الكثيف داخل مجتمع تطوير تقنيات Web3.

تعتبر قدرات ما بعد الاستغلال مدمرة لحاملي الأصول الرقمية. وتشمل عمليات الاستخراج المرصودة ما يلي:

• سرقة بيانات الاعتماد من المتصفحات، ومحافظ العملات المشفرة، ومفاتيح واجهة برمجة التطبيقات (API).
• تسجيل ضغطات المفاتيح وحصاد رموز الجلسات، مع استهداف تطبيق Telegram بشكل خاص.
• استخراج البيانات الحساسة من مديري كلمات المرور مثل أداة Keychain وتطبيق Bitwarden.
• استبدال إضافات المتصفح الشرعية بمتغيرات خبيثة.
• سرقة مفاتيح SSH وبيانات اعتماد البنية التحتية السحابية.

نظراً لأن هذا الهجوم يعتمد على الهندسة الاجتماعية بدلاً من استغلال ثغرات البرمجيات، فإن التحقق البشري هو أقوى دفاع لديك. ويوصي خبراء الأمن بتنفيذ بروتوكولات صارمة لأي اتصالات خارجية.

• التحقق من روابط الاجتماعات: تحقق دائماً من اسم النطاق في شريط عناوين المتصفح قبل الانضمام إلى مكالمة عبر تطبيق Zoom أو برنامج Microsoft Teams، للتأكد من أنه الرابط الرسمي للمنصة.
• عدم تشغيل أوامر غير مؤكدة: تعامل مع أي طلب لفتح موجه الأوامر أو تنفيذ ملف AppleScript بصيغة scpt. أثناء الاجتماع كتهديد أمني خطير.
• استخدام حماية نقاط النهاية: انشر أدوات متقدمة لاكتشاف نقاط النهاية تراقب نشاط موجه الأوامر غير المعتاد أو اتصالات القيادة والسيطرة غير المصرح بها.

تمثل حملة UNC1069 تطوراً مرعباً في الهندسة الاجتماعية، مما يثبت أن الثقة البشرية لا تزال ناقل الهجوم الأكثر ضعفاً. ومن خلال اختراق سلاسل رسائل منصة Slack وتطبيق Telegram الحالية، يتجاوز هؤلاء القراصنة المرتبطون بكوريا الشمالية الشكوك الأولية التي تصاحب عادة التصيد الاحتيالي المباشر. وتظهر حقيقة استعدادهم للانتظار لأسابيع لعقد اجتماع مجدول عبر تطبيق Calendly مستوى من الصبر التشغيلي المخصص عادة للتجسس عالي المستوى.

علاوة على ذلك، يشير التحول نحو مشرفي المصادر المفتوحة، كما يتضح من اختراق حزمة npm المعروفة باسم axios، إلى تحول خطير في الاستراتيجية. وإذا تمكن المهاجمون من اختراق مطور واحد لديه حق الوصول إلى المستودعات المستخدمة على نطاق واسع، فإن دائرة الخطر تمتد إلى ما هو أبعد من محفظة عملات مشفرة مسروقة واحدة. ويجب على المؤسسات تجاوز عمليات محاكاة التصيد الاحتيالي الأساسية وتدريب فرقها على التعرف على العلامات الحمراء الدقيقة للخداع التفاعلي في الوقت الفعلي.