شارك محقق أمان العملات المشفرة ZachXBT تسجيل فيديو على حساب X الخاص به، مما يكشف عن متسلل يعرف باسم vKevin أثناء عملية احتيال معقدة عبر روبوت Safeguard Telegram المزيف. ويعتقد أن المستغل كان يعمل مع ممثلين آخرين في الخدعة أثناء وجوده في مدرسة في نيويورك.
في 23 يناير، أصدر ZachXBT، وهو شخصية معروفة في مجتمع التحقيق في العملات المشفرة، مقطع فيديو مدته 31 دقيقة على منصة التواصل الاجتماعي X يصور “vKevin” باستخدام Telegram لخداع الأموال من الضحايا. وفي الفيديو، شوهد “vKevin” وهو يتعاون مع شركاء أثناء الانخراط في أنشطة التصيد الاحتيالي التي تستهدف الضحايا المطمئنين.
كان محلل أمان العملات المشفرة يرد على منشور نشره المستخدم @pcaversaccio، الذي حذر مجتمع العملات المشفرة من التكتيك الخادع الجديد على Telegram، والذي وصفه بأنه “أكبر تهديد أمني في الوقت الحالي”.
أيها الناس، أكبر تهديد أمني في الوقت الحالي هو قيام الأشخاص بتشغيل التعليمات البرمجية بشكل أعمى، أو استدعاء أوامر غامضة، أو تثبيت التطبيقات لمجرد أن شخصًا عشوائيًا أو موقع ويب طلب منهم ذلك. مثال: توقف عن تشغيل أوامر PowerShell _الخبيثة بشكل أعمى لمجرد… pic.twitter.com/vuBDabQJNY
– sudo rm -rf –no-preserve-root / (@pcaversaccio) 23 يناير 2025
تضمنت عملية الاحتيال خداع الضحايا للتحقق من هويتهم من خلال روبوت Safeguard مزيف. سمح هذا للمتسلل بالوصول غير المصرح به إلى حسابات Telegram الخاصة بهم، وبالتالي إلى محافظ روبوتات التداول الخاصة بهم. وبمجرد الوصول إلى هناك، يمكن للمستغلين سرقة أصول الضحايا، بما يصل إلى مئات الآلاف من الدولارات في بعض الحالات.
يحدد المحققون عملية احتيال جديدة وخطيرة لبوت Telegram
وفقًا لشرح متوسط من شركة SlowMist لأمن blockchain، فإن عملية احتيال Telegram للحماية المزيفة لها طريقتان للتسلل. يمكن للمحتالين الاستفادة من الروبوت لحث المستخدمين على تقديم معلومات خاصة، بما في ذلك كلمات المرور ورموز التحقق. يمكنهم أيضًا زرع فيروسات ضارة لاختراق أجهزة الكمبيوتر وسرقة المعلومات مباشرة.
في المقال المنشور يوم 18 يناير، أوضح SlowMist كيف تقوم الجهات الخبيثة بإنشاء حسابات مزيفة لقادة الرأي الرئيسيين (KOLs) على X، مع ربط روابط دعوة مجموعة Telegram بشكل استراتيجي في التعليقات لجذب الضحايا المحتملين.
يتم بعد ذلك الترحيب بالمستخدمين الذين ينضمون إلى “المجتمعات” من خلال الرابط بطلبات لإجراء عملية “التحقق”. إذا اتبعوا الخطوات، فسيطلق وكيل حصان طروادة (RAT) الضار للوصول عن بعد العنان لأوامر PowerShell التي تهدد أي تثبيتات أمنية، مما يمكّن المتسلل من الوصول إلى النظام دون إذن.
بعد مشاركة ZachXBT، استفسر أحد المستخدمين عما إذا كان المتسلل “vKevin” قد تم الكشف عنه، وهو ما أكده ZachXBT بـ “نعم” بسيطة.
سوف يحمل جيوبًا في السجن.
(ونعم، أنت تبدو قبيحًا يا أخي) pic.twitter.com/DKcomKIk6M
– ImNotTheWolf (ImNotTheWolf) 23 يناير 2025
وفي أحد الردود، شارك أحد المستخدمين صورة للمستغل المزعوم، على الرغم من أن بعض التفاصيل المحددة، مثل موقعه المباشر أو من كان يعمل معه، لم يتم الكشف عنها بعد.
كان نفس المتسلل مسؤولاً عن اختراق خادم Discord في عام 2022
يُزعم أن vKevin كان مسؤولاً عن خرق آخر للشبكة أدى إلى خسارة حاملي NFT أكثر من 300000 دولار في 14 أغسطس 2022. تم الكشف عن التحديث بواسطة مستخدم X @Iamdeadlyz. وأوضحوا كيف هاجم المتسلل Discord الخاص بـ DigikongNFT عندما نشر خطافًا على الويب على شكل روبوت MEE6 مزيف، داخل الخادم.
تم تصميم هذا الروبوت لتسهيل هجوم التصيد الاحتيالي باستخدام تطبيق مرجعي لاستخراج رموز مصادقة Discord المميزة من المستخدمين. تمت استضافة موقع التصيد المرتبط بهذا الهجوم على mee6.ca/verify، وهو مجال مسجل من خلال خدمة الويب Namecheap ويتم استضافته على AWS بعنوان IP 23.22.5.68.
تم اختراق خادم Discord الخاص بـ .@DigikongNFT
/famousfoxfedaration.netlify.app
🌐@Netlify @NetlifySupport
🚩 @solanafm
3HZmQ7TVkhcuPu5jb349LARJYP8LMVC7U31qsCuYCksoنفس الممثل/الممثلين الخبيثين الذين يقفون وراء هجوم @AI_Roulette
معرف Discord الخاص بالمقلد: 852413673053093908 https://t.co/3K6MiIE3Ky pic.twitter.com/NxENWxTrsW
– iamdeadlyz (Iamdeadlyz) 14 أغسطس 2022
تمت مشاركة الأدلة على تصرفات vKevin على القناة العامة لخادم Discord، على الرغم من تنقيح معظم المعلومات الحساسة.
وأكدت شركة Namecheap لاحقًا أنها قامت بتعليق الخدمة المسيئة ردًا على هذا الاختراق الأمني، لكن vKevin وغيره من المتسللين قد هربوا بالفعل من مجموعات NFT.
من الصفر إلى Web3 Pro: خطة إطلاق حياتك المهنية لمدة 90 يومًا
