حددت فريق الاستجابة للحوادث لدى مايكروسوفت حصان طروادة للتحكم عن بعد (RAT) جديد مصمم للتأثير على حيازات العملات الرقمية عن طريق استهداف ملحقات المحافظ الرقمية. البرمجيات الخبيثة التي أطلق عليها StilachiRAT، يمكنها جمع معلومات النظام وسرقة بيانات تسجيل الدخول واستخراج بيانات من محافظ العملات الرقمية عبر منصات متعددة.
تستهدف دودة طروادة ما لا يقل عن 20 ملحق محفظة عملات رقمية شهير لمتصفح جوجل كروم، بما في ذلك الخيارات المستخدم بشكل واسع مثل Metamask و Trust Wallet و Coinbase Wallet و Phantom. كشفت تحقيقات مايكروسوفت عن قدرة البرمجيات الخبيثة على الوصول إلى إعدادات السجل للتحقق من الملحقات المثبتة. وبمجرد تحديدها، يمكنه استخراج بيانات حساسة من المحتمل أن تمنح المهاجمين الوصول إلى أصول الضحايا الرقمية.
"يستهدف StilachiRAT قائمة ملحقات محددة لمحفظات العملات الرقمية لمتصفح جوجل كروم. يصل إلى الإعدادات في مفتاح السجل التالي ويقوم بالتحقق مما إذا كان هناك أي من الملحقات مثبتة," صرحت مايكروسوفت في نشرتها الأمنية في 17 مارس. على الرغم من أن البرمجيات الخبيثة لم تحقق بعد انتشارًا واسعًا، فإن الخبراء الأمنيين يعربون عن قلقهم الكبير حول مستواها التطور وإمكانياتها المحتملة.
تبدأ البرمجيات الخبيثة هجومها بمرحلة استطلاع حيث تجمع معلومات عن نظام التشغيل لدى الضحية ومعرفات الأجهزة والجلسات النشطة. ثم تركز على سرقة بيانات الاعتماد مستهدفة كلمات المرور المخزنة في كروم وترصد بيانات الحافظة حيث يقوم المستخدمون غالبًا بنسخ بيانات حساسة مثل مفاتيح المحافظ أو كلمات المرور. هذه الطريقة المتعددة المراحل تسمح للمهاجمين بجمع بيانات شاملة قبل بدء أي عملية سرقة.
أشار فريق الأمان لدى مايكروسوفت إلى قدرات StilachiRAT المتقدمة لمكافحة الأدلة باعتبارها مثيرة للقلق بشكل خاص. يمكن لبرمجيات طروادة حذف سجلات الأحداث وتقييم أوضاع النظام لتجنب آليات الكشف. تجعل هذه التقنيات التهربية من التعرف عليها وإزالتها أكثر تحديًا للأدوات الأمنية القياسية.
لتقليل المخاطر، تنصح مايكروسوفت المستخدمين بتنفيذ عدة تدابير أمنية على الفور. "في بعض الحالات، يمكن لبرمجيات طروادة للتحكم عن بعد أن تتظاهر بأنها برامج شرعية أو تحديثات برمجية. دائمًا قم بتنزيل البرمجيات من موقع المطور الرسمي أو من مصادر موثوقة," أكدت مايكروسوفت في نصيحتها. كما توصي الشركة بتفعيل الحماية في الوقت الحقيقي في Microsoft Defender واستخدام المتصفحات التي تحتوي على SmartScreen للمساعدة في حجب مواقع الويب الضارة.
تشمل التوصيات الأمنية الإضافية تمكين التحقق الثنائي لجميع الحسابات والحفاظ على تحديث البرامج عبر جميع التطبيقات. يمكن لتلك الممارسات الأمنية الأساسية الحد بشكل كبير من التعرض لهذا النوع من التهديدات والتهديدات المماثلة.
يأتي هذا الاكتشاف وسط تزايد المخاوف المتعلقة بجرائم العملات الرقمية. وفقًا لتقرير اتجاهات جرائم العملات الرقمية لعام 2025 من Chainalysis، تتراوح المعاملات غير المشروعة في العملات الرقمية حاليًا بين 40 مليار دولار و50 مليار دولار سنويًا. يتم اكتساب هذه الأموال من خلال وسائل متنوعة، بما في ذلك هجمات الفدية، والعمليات البرمجيات الخبيثة المتطورة، وأنشطة الجريمة الإلكترونية الأخرى.
يتنبأ التقرير كذلك أن حجم المعاملات العملات الرقمية غير المشروعة في عام 2024 قد يتجاوز 51 مليار دولار، مما يمثل متوسط زيادة سنوية بنسبة 25٪ بين فترات الإبلاغ. تشير هذه الاتجاهات إلى تصاعد في مستوى التعقيد للهجمات التي تستهدف الأصول الرقمية مع استمرار تبني العملات الرقمية في التوسع على مستوى العالم.
يشدد محللو الأمن على أنه مع الأزمة المستمرة لتبني العملات الرقمية بشكل رئيسي، ينبغي للمستخدمين أن يتوقعوا هجمات مستهدفة بشكل متزايد تهدف إلى التأثير على هذه الأصول. اكتشاف StilachiRAT يمثل تطورًا كبيرًا في التكتيكات التي يعتمدها مجرمو الإنترنت لاستغلال حاملي العملات الرقمية.