«مجاني» TradingView Premium مع ستايلر، هجوم DDoS قياسي على Cloudflare وأحداث أخرى في الأمن السيبراني

! أمان العملات المشفرة 1# TradingView Premium "مجاني" مع سارق ، هجوم DDoS حطم الرقم القياسي على Cloudflare ، وأحداث الأمن السيبراني الأخرى

لقد جمعنا أهم الأخبار من عالم الأمن السيبراني لهذا الأسبوع.

• قام الهاكرز بإخفاء الستيلر في TradingView Premium مزيف.
• الخبراء وجدوا ستايلر خطير على مستخدمي العملات المشفرة.
• قراصنة الإنترنت هددوا بتسريب الأعمال الفنية لنماذج الذكاء الاصطناعي.
• تم العثور على ثغرة في إدارة الروبوتات الصينية.

قام القراصنة بإخفاء الستيلر في TradingView Premium مزيف

كان مجرمو الإنترنت يقومون بنشر إعلانات مزيفة حول تثبيت TradingView Premium مجانًا لتحميل البرمجيات الخبيثة على أجهزة Android الخاصة بالضحايا. وأفاد باحثو Bitdefender بذلك.

ظهر برنامج Brokewell في بداية عام 2024. يمتلك مجموعة واسعة من الإمكانيات، بما في ذلك سرقة البيانات الحساسة، والمراقبة عن بُعد، والتحكم في الجهاز المصاب.

وفقًا للباحثين، كانت أهداف الحملة مستخدمي العملات المشفرة. إنها تعمل على الأقل منذ 22 يوليو، مستخدمة حوالي 75 إعلانًا محليًا موجهًا للقطاع الروسي.

مثال على إعلانات المهاجمين. المصدر: Bitdefender.عندما انتقلت الضحية إلى الرابط، تم إعادة توجيهها إلى موقع يتخفى تحت TradingView الأصلي، حيث تم عرض ملف ضار tw-update.apk. بعد التثبيت، طلب التطبيق الوصول إلى ميزات إمكانية الوصول. في حالة الموافقة، كان يفتح نافذة تحديث مزعومة للنظام. في هذه الأثناء، كان infostealer يمنح نفسه جميع الأذونات اللازمة.

علاوة على ذلك، حاول المهاجمون الحصول على رمز PIN لقفل شاشة الهاتف الذكي، مقلدين طلب النظام من Android.

يرجى إدخال رمز PIN لشاشة قفل الهاتف الذكي من البرامج الضارة. المصدر: Bitdefender. أشار الخبراء إلى أن المخطط كان معدًا بشكل حصري لمستخدمي الهواتف المحمولة: عند الانتقال من جهاز آخر، كان يتم عرض محتوى غير ضار.

وفقًا لـ Bitdefender، فإن التطبيق المزيف هو "نسخة موسعة من البرنامج الضار Brokewell" ويحتوي على الميزات التالية:

• يقوم بمسح BTC و ETH و USDT و بيانات الحساب المصرفي IBAN;
• يسرق ويصدر الرموز من Google Authenticator;
• يستولي على الحسابات من خلال شاشات تسجيل دخول مزيفة؛
• يسجل الشاشة وضغطات المفاتيح، يسرق الكوكيز، ينشط الكاميرا والميكروفون، يتتبع الموقع الجغرافي؛
• يقوم باعتراض الرسائل القصيرة، بما في ذلك رموز البنوك و2FA، من خلال استبدال البرنامج القياسي للرسائل؛
• يمكن أن تتلقى أوامر عن بُعد عبر Tor أو WebSockets لإرسال الرسائل القصيرة، والمكالمات، وإزالة البرمجيات، أو حتى التدمير الذاتي.

الخبراء وجدوا ستايلر خطير لمستخدمي العملات المشفرة

أبلغ الباحثون من F6 عن اكتشاف مخطط خبيث يسمى Phantom Papa في يونيو. كان المهاجمون يرسلون رسائل باللغة الروسية والإنجليزية مع مرفقات تحتوي على ستيلر Phantom.

تطبيق Stealerium المستند إلى كود CaaS يتيح للمشغلين سرقة كلمات المرور والمعلومات المصرفية والعملات المشفرة ومحتويات المتصفحات ووسائل المراسلة.

كان المتلقون لرسائل البريد الضار التي تحتوي على ستايلر من منظمات من مختلف مجالات الاقتصاد: التجزئة، الصناعة، البناء، تكنولوجيا المعلومات.

يلاحظ التقرير اختيار المهاجمين رسائل مزيفة تحمل مواضيع ذات طابع جنسي مثل "انظر إلى صوري ومقاطع الفيديو الخاصة بي". كما تم العثور على خدع تصيد كلاسيكية مثل "نسخة مرفقة من الدفع رقم 06162025".

جزء من رسالة تصيد احتيالية من المحتالين تعرض تحميل أرشيف. المصدر: F6.عند فك ضغط وتشغيل الملفات المرفقة في البريد من أرشيفات RAR ذات الامتداد .img و .iso. كان يتسلل برمجيات ضارة إلى الجهاز. بعد التشغيل على آلة الضحية، كان Phantom يجمع معلومات تفصيلية حول "الأجهزة" والتكوينات النظامية، كما سرق ملفات تعريف الارتباط وكلمات المرور وبيانات بطاقات الائتمان من المتصفح، والصور والمستندات. كانت جميع المعلومات التي تم جمعها تصل إلى المحتالين عبر روبوتات تلغرام مثل papaobilogs.

تهديد آخر لملاك العملات المشفرة هو وحدة Clipper. كانت تستخرج محتوى الحافظة في حلقة لا نهائية بفاصل زمني قدره ثانيتين. إذا تغير، كانت البرمجية الخبيثة تحفظه في ملف. بعد ذلك، كانت تبحث في النافذة النشطة عن كلمات مرتبطة بخدمات العملات المشفرة: "bitcoin"، "monero"، "crypto"، "trading"، "wallet"، "coinbase".

في حالة الكشف عن ذلك، كانت تبدأ مرحلة البحث في حافظة تبادل محافظ العملات المشفرة عن المقاطع الشائعة من العناوين. عند العثور عليها، كانت البرمجيات تستبدل محافظ المستخدم بالعناوين المقررة مسبقًا من قبل المهاجمين.

كذلك يحتوي Phantom على وحدة PornDetector. إنها قادرة على مراقبة نشاط المستخدم، وفي حالة العثور على أحد السلاسل "porn"، "sex"، "hentai"، تقوم بإنشاء لقطة شاشة في ملف. إذا كانت النافذة لا تزال نشطة بعد ذلك، تقوم الوحدة بالتقاط صورة من الكاميرا.

المحتالون هددوا بتسريب الأعمال الفنية لنماذج الذكاء الاصطناعي

في 30 أغسطس، يُفترض أن المحتالين من LunaLock نشروا معلومات حول الاختراق على صفحة خدمة الفنانين Artists&Clients. وتفيد بذلك 404 Media.

طالبت الجهات الخبيثة مالكي سوق الفن بدفع فدية قدرها 50,000 دولار بعملة البيتكوين أو Monero. وفي حالة عدم الدفع، وعدوا بنشر جميع البيانات وتسليم الأعمال الفنية لشركات الذكاء الاصطناعي لتدريب نماذج LLM.

تم وضع مؤقت عد تنازلي على الموقع، مما منح المالكين عدة أيام لجمع المبلغ المطلوب. في وقت كتابة هذه السطور، لا يعمل المورد.

«هذه هي المرة الأولى التي أرى فيها أن المهاجمين يستخدمون تهديد تدريب نماذج الذكاء الاصطناعي كعنصر في تكتيكات الابتزاز الخاصة بهم» ، كما أشار المحلل الأول للتهديدات السيبرانية في Flare تامي هاربر في تعليق لـ 404 Media.

وأضافت أن مثل هذه الأفعال قد تكون فعالة ضد الفنانين بسبب الموضوع الحساس.

تم العثور على ثغرة في إدارة الروبوتات الصينية

في 29 أغسطس ، اكتشف متخصص الأمن السيبراني الذي يحمل الاسم المستعار BobDaHacker مشاكل في حماية مزود الروبوتات التجارية الرائد عالميًا. كانت الثغرة تسمح للآلات بالامتثال لأوامر عشوائية.

Pudu Robotics — شركة صينية تصنع الروبوتات لأداء مجموعة واسعة من المهام في الإنتاج والأماكن العامة

اكتشف BobDaHacker أن الوصول الإداري إلى برنامج إدارة الروبوتات لم يتم حجبه. ووفقًا له، يكفي للمهاجم الحصول على رمز تفويض صالح أو إنشاء حساب تجريبي مصمم للاختبارات قبل الشراء.

بعد اجتياز المصادقة الأولية، لم تتبع أي فحوصات أمان إضافية. كان المهاجم يحصل على إمكانية إعادة توجيه توصيل الطعام أو تعطيل كل مجموعة الروبوتات في المطاعم. وكان هذا يسمح لأي شخص يرغب في إجراء تغييرات كبيرة: على سبيل المثال، إعادة تسمية الروبوتات لجعل الاستعادة أكثر تعقيدًا.

Cloudflare تحمل هجوم DDoS قياسي

Cloudflare حظر أكبر هجوم DDoS تم تسجيله على الإطلاق، حيث بلغت قوته ذروتها 11.5 تيرابت في الثانية. أعلن مزود الخدمات الشبكية عن ذلك في 1 سبتمبر.

كانت دفاعات Cloudflare تعمل بجهد إضافي. على مدى الأسابيع القليلة الماضية، قمنا بشكل تلقائي بحظر المئات من هجمات DDoS عالية الحجم، حيث وصلت أكبرها إلى ذروة 5.1 Bpps و 11.5 Tbps. كانت هجمة 11.5 Tbps عبارة عن فيضان UDP جاء أساسًا من Google Cloud.… pic.twitter.com/3rOys7cfGS

• Cloudflare (@Cloudflare) 1 سبتمبر 2025

«أنظمة حماية Cloudflare تعمل في وضع تعزيز. خلال الأسابيع القليلة الماضية، قمنا في وضع عدم الاتصال بحظر مئات من هجمات DDoS فائقة القوة، أكبرها وصلت ذروتها إلى 5.1 مليار حزمة في الثانية و11.5 تيرابت في الثانية»، حسبما ذكرت الشركة.

استمر هجوم DDoS القياسي لمدة حوالي 35 ثانية وكان مزيجًا من عدة أجهزة IoT ومزودي خدمة سحابية.

أيضًا على ForkLog:

• Grokking. تم تعليم روبوت الدردشة Grok نشر روابط الاحتيال.
• حاسوب كمي اخترق مفتاح تشفير "صغير".
• في الولايات المتحدة، تم اقتراح خطة لحماية الأصول من التهديدات الكمومية.
• قام القراصنة بإخفاء الروابط الضارة في العقود الذكية.
• فقد المستخدم فينوس 27 مليون دولار بسبب التصيد.
• كتاب في علم النفس ساعد على "اختراق" ChatGPT.
• سرق المتسللون رموز WLFI باستخدام المحفظات الذكية.
• خسائر قرصنة مشاريع التشفير في أغسطس بلغت 163 مليون دولار.
• Binance ساعدت في تجميد أصول المحتالين بقيمة 47 مليون دولار.
• سلفادور حمى 6284 BTC الخاصة به من التهديدات الكمية.

ماذا تقرأ في عطلة نهاية الأسبوع؟

تحدث ForkLog في إطار النشرة الشهرية FLMonthly مع الشيفر بانك أنطون نستيروف حول التهديدات الرئيسية للخصوصية وطرق مواجهتها.