تبديل غير ملحوظ لعناوين بيتكوين، تسرب من قبل شركة ألعاب للكبار وغيرها من أحداث الأمن السيبراني - ForkLog: العملات الرقمية، الذكاء الاصطناعي، التفرد، المستقبل

# تغييرات غير ملحوظة في عناوين البيتكوين، تسرب من شركة ألعاب للكبار وغيرها من أحداث الأمن السيبراني

جمعنا أهم الأخبار من عالم الأمن السيبراني خلال الأسبوع.

• اخترع القراصنة مخططًا لتغيير عناوين البيتكوين بشكل غير ملحوظ.
• تم إخفاء تروجان جديد لنظام أندرويد على شكل تطبيقات IPTV.
• تلقى مستخدمو Trezor و Ledger رسائل تصيد احتيالية ورقية.
• كشف باحث عن مراقبة الشركات الكبرى لمستخدمي Chrome عبر الإضافات.

اخترع القراصنة مخططًا لتغيير عناوين البيتكوين بشكل غير ملحوظ

بدأ المهاجمون في استبدال عناوين البيتكوين بشكل غير ملحوظ بزعم صفقة مربحة للتحكيم في العملات الرقمية. اكتشف الخبراء في BleepingComputer هذا المخطط.

يعتمد الحملة على وعود بأرباح هائلة من “ثغرة للتحكيم” يُزعم أنها موجودة في منصة تبادل العملات الرقمية Swapzone. في الواقع، يقوم القراصنة بتشغيل رمز ضار يُعدّل عملية التبادل مباشرة في متصفح الضحية.

عادةً، تستهدف هجمات ClickFix أنظمة التشغيل: حيث يُخدع المستخدمون لتشغيل أوامر في PowerShell لإصلاح أخطاء Windows، مما يؤدي إلى تثبيت برامج التشفير أو برامج التتبع. في هذه الحالة، كانت الهدف جلسة معينة في المتصفح.

وفقًا لوسائل الإعلام، فإنها واحدة من أول الحالات المسجلة لاستخدام تقنية ClickFix للتلاعب بصفحات الويب بهدف سرقة العملات الرقمية مباشرة.

للترويج للحملة الاحتيالية، يترك القراصنة تعليقات على منشورات مختلفة على خدمة تخزين النصوص الشائعة Pastebin.

المصدر: BleepingComputer. يروجون لـ"تسريب وثائق الاختراق"، التي يُزعم أنها تتيح كسب 13000 دولار خلال يومين، ويرفقون رابطًا للمصدر. يصف “الدليل” في Google Docs مخطط الحصول على مبالغ مبالغ فيها من التبادل في أزواج BTC معينة.

أظهرت ملاحظات BleepingComputer أن المستند يُشاهد باستمرار من قبل من 1 إلى 5 أشخاص في نفس الوقت، مما يؤكد نشاط المخطط.

المصدر: BleepingComputer. في الدليل المزيف، يُعرض على المستخدم:

1. الانتقال إلى موقع Swapzone.
2. نسخ رمز JavaScript من مصدر خارجي.
3. العودة إلى علامة التبويب Swapzone، إدخال javascript: في شريط العنوان، لصق الكود المنسوخ، ثم الضغط على Enter.

يستخدم هذا الأسلوب وظيفة URI في المتصفح javascript:، التي تتيح تنفيذ الكود في سياق الموقع المفتوح. أظهر التحليل أن السكربت الأولي يُحمّل جزءًا ثانويًا معقدًا جدًا من الحمل، يُدمج في صفحة Swapzone، ويستبدل السيناريوهات الشرعية لـ Next.js المسؤولة عن المعاملات:

• استبدال العنوان. يحتوي السكربت الضار على قائمة بعناوين البيتكوين للمهاجمين، ويستبدل أحدها بدل العنوان الحقيقي للإيداع الذي أنشأته البورصة.
• خداع بصري. يغير الكود أسعار الصرف المعروضة ومبالغ الدفع على الشاشة ليبدو أن “مخطط التحكيم” يعمل فعلاً.
• النتيجة. يرى الضحية واجهة مألوفة لخدمة شرعية، لكنه يرسل الأموال إلى محفظة البيتكوين الخاصة بالهاكر.

تم إخفاء تروجان جديد لنظام أندرويد على شكل تطبيقات IPTV

يظهر برمجية خبيثة جديدة لنظام أندرويد على شكل تطبيق لمشاهدة IPTV لسرقة الهوية الرقمية والوصول إلى الحسابات البنكية للضحية، وفقًا لمحققين من ThreatFabric.

يستخدم فيروس Massiv تراكب النوافذ وتسجيل ضغطات المفاتيح لجمع البيانات الحساسة، ويمكنه أيضًا تثبيت تحكم عن بعد كامل في الجهاز المصاب.

خلال الحملة، استهدف Massiv تطبيقًا حكوميًا برتغاليًا مرتبطًا بـ Chave Móvel Digital — نظام المصادقة الرقمية والتوقيع الوطني. يمكن استخدام البيانات المخزنة في هذه الخدمات لتجاوز إجراءات التحقق من الهوية (KYC)، والوصول إلى الحسابات البنكية، وخدمات أخرى حكومية وخاصة عبر الإنترنت.

وفقًا لـ ThreatFabric، تم تسجيل حالات فتح حسابات بنكية وخدمات باسم الضحية دون علمها.

يوفر Massiv لمشغليه وضعين للتحكم عن بعد:

• بث الشاشة — يستخدم API الخاص بـ Android MediaProjection لبث ما يحدث على الشاشة مباشرة.
• وضع شجرة الواجهة UI-tree — استخراج البيانات المنظمة عبر خدمة الوصول Accessibility Service.

المصدر: ThreatFabric. يتيح الوضع الثاني للمهاجمين رؤية النص، وأسماء عناصر الواجهة، وإحداثياتها، مما يمكنهم من الضغط على الأزرار وتعديل حقول النص باسم المستخدم. والأهم من ذلك، أن هذه الطريقة تتجاوز حماية لقطات الشاشة، التي غالبًا ما تكون مدمجة في تطبيقات البنوك والتمويل.

لاحظ الباحثون اتجاهًا مثيرًا: خلال الثمانية أشهر الماضية، زاد بشكل كبير استخدام تطبيقات IPTV كـ “فخ” لانتشار البرمجيات الخبيثة على أجهزة أندرويد.

المصدر: ThreatFabric. غالبًا ما تنتهك هذه التطبيقات حقوق النشر، لذلك لا يمكن العثور عليها في Google Play. يعتاد المستخدمون على تحميلها بصيغة APK من مصادر غير رسمية وتثبيتها يدويًا.

وفقًا للتقرير، تستهدف الحملة سكان إسبانيا، البرتغال، فرنسا، وتركيا.

تلقى مستخدمو Trezor و Ledger رسائل تصيد احتيالية ورقية

بدأ مستخدمو Trezor و Ledger يتلقون رسائل عادية مرسلة من قبل مهاجمين يُزعم أنهم من شركات المحافظ الرقمية الصلبة.

قال خبير الأمن السيبراني ديمتري سمليانس إن الرسالة التي تلقاها كانت تبدو كإشعار رسمي من قسم أمن Trezor.

على الورقة الرسمية، عُرض على العميل إجراء إلزامي: مسح رمز QR وإكمال التحقق على موقع خاص قبل تاريخ معين. وإذا لم يُنفذ، يُهدد بفقدان الوصول إلى وظائف المحفظة.

وفي تعليقات على المنشور، ظهرت حالات أخرى من التصيد الاحتيالي المزعوم من قبل ممثلي Ledger. كانت الرسالتان تخلقان إحساسًا بالضرورة، وتحث الضحايا على اتخاذ إجراءات فورية.

على الأقل كان بإمكانهم العمل على صفحة تصيد أفضل 😭😭

حتى كلمات البذرة النصية المرسلة إلى API تيلجرام…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— من قال ماذا؟ (@g0njxa) 12 فبراير 2026

كانت رموز QR في الرسائل تؤدي إلى مواقع خبيثة تحاكي صفحات إعداد Trezor و Ledger الرسمية. في المرحلة النهائية، كان يُجبر المستخدمون على إدخال عبارة البذرة “لتأكيد ملكية الجهاز”.

كشف باحث عن مراقبة الشركات الكبرى لمستخدمي Chrome عبر الإضافات

اكتشف الباحث المعروف باسم Q Continuum أن هناك 287 إضافة لمتصفح Chrome تنقل جميع بيانات سجل التصفح إلى شركات خارجية، وتجاوز عدد مرات تثبيتها 37.4 مليون.

باستخدام نظام اختبار آلي، فحص الباحث 32,000 إضافة من متجر Chrome الإلكتروني، ووجد أكثر من 30 شركة تجمع البيانات.

يعتقد أن الإضافات التي تقدم أدوات مفيدة ومريحة تطلب بشكل غير مبرر الوصول إلى سجل المتصفح. بعض هذه الإضافات تقوم بتشفير البيانات، مما يصعب اكتشافها.

قال الباحث إن جزءًا من جمع البيانات مذكور رسميًا في سياسات الخصوصية، لكن العديد من المستخدمين لا يلقون لها بالًا.

كشف الباحث أن شركات مثل Similarweb و Semrush و Alibaba Group و ByteDance وكيان تابع لـ Similarweb يُجمع منها البيانات.

كما تم الاشتباه في إضافات تخص تخصيص الثيمات مثل Stylish، وأدوات حظر الإعلانات (Stands AdBlocker و Poper Blocker، CrxMouse)، بالإضافة إلى إضافة Similarweb نفسها (SimilarWeb: Website Traffic & SEO Checker).

المصدر: GitHub للمستخدم Q Continuum. من بين 37.4 مليون تثبيت، لم يُربط حوالي 20 مليون بمستلمين محددين للبيانات.

تُوثق سياسة الخصوصية الخاصة بـ Similarweb جمع البيانات، وتؤكد أن الشركة تُجهل الهوية، مع الإشارة إلى أن “جزءًا من هذه البيانات قد يتضمن معلومات شخصية وسرية حسب استعلامات البحث والمحتوى المعروض”.