استغلت مجموعة قرصنة كورية شمالية ثغرة جديدة في متصفح Chrome لاستهداف منظمات بهدف سرقة العملات الرقمية، وفقًا لتقرير صادر عن شركة مايكروسوفت.
أوضح الباحثون في الأمن السيبراني لدى مايكروسوفت في تقريرهم الذي نُشر يوم الجمعة أنهم لاحظوا نشاطًا لهذه المجموعة القراصنة في 19 أغسطس. وأشار التقرير إلى أن القراصنة مرتبطون بمجموعة تعرف باسم “Citrine Sleet”، والتي تستهدف صناعة العملات الرقمية بشكل خاص.
وبحسب التقرير، استغل القراصنة ثغرة في محرك رئيسي ضمن متصفح Chromium، الذي يعتمد عليه كل من Chrome ومتصفحات أخرى شائعة مثل Edge من مايكروسوفت. عندما تم استغلال الثغرة من قبل القراصنة، كانت تُعتبر “ثغرة يوم الصفر”، مما يعني أن الشركة المصنعة للبرنامج – في هذه الحالة، جوجل – لم تكن على علم بالثغرة وبالتالي لم يكن لديها وقت لإصلاحها قبل استغلالها. وقد قامت جوجل بإصلاح الثغرة بعد يومين فقط من اكتشافها في 21 أغسطس.
أكد المتحدث باسم جوجل، سكوت ويستوفر، أنه تم إصلاح الثغرة، لكنه لم يُضف أي تعليق آخر.
أشارت مايكروسوفت إلى أنها أبلغت العملاء المتأثرين والمستهدفين من قبل هذه الحملة، لكنها لم تقدم معلومات إضافية حول هوية المستهدفين أو عدد الضحايا. وعندما سُئل المتحدث باسم مايكروسوفت، كريس ويليامز، عن عدد الشركات أو المنظمات المتأثرة، رفض الإجابة.
وأوضح الباحثون أن مجموعة “Citrine Sleet” مقرها في كوريا الشمالية وتستهدف بشكل رئيسي المؤسسات المالية، وخصوصًا المنظمات والأفراد الذين يديرون العملات الرقمية لتحقيق مكاسب مالية. وتستخدم هذه المجموعة أساليب هندسة اجتماعية متقدمة، بما في ذلك إنشاء مواقع ويب مزيفة تتظاهر بأنها منصات تداول عملات رقمية شرعية، حيث تقوم بتوزيع تطبيقات ضارة أو جاذبة لضحية لتحميل محافظ عملات رقمية تحتوي على برمجيات خبيثة.
وبمجرد أن يتم خداع الضحية لزيارة موقع ويب تحت سيطرة القراصنة، يتمكن القراصنة من استغلال ثغرة أخرى في نظام Windows لتثبيت برنامج “rootkit” على جهاز الضحية، وهو نوع من البرمجيات الخبيثة الذي يتيح وصولًا عميقًا إلى النظام التشغيلي.
وبمجرد تثبيت هذه البرمجية الخبيثة، يصبح للهاكرز سيطرة كاملة على جهاز الضحية، مما يعني أنه يمكنهم الوصول إلى جميع البيانات والتحكم في الجهاز بشكل كامل.
