استخبارات التهديدات من Google تصنف Ghostblade كبرمجية خبيثة لسرقة العملات المشفرة

أشارت Google Threat Intelligence إلى برنامج ضار جديد لسرقة التشفير يُدعى "Ghostblade" يستهدف أجهزة Apple iOS. يوصف Ghostblade بأنه جزء من عائلة DarkSword من الأدوات المستندة إلى المتصفح، وهو مصمم لسحب المفاتيح الخاصة والبيانات الحساسة الأخرى في دفعة سريعة ومنفصلة بدلاً من الوجود المستمر على الجهاز.

مكتوب بلغة JavaScript، ينشط Ghostblade ويحصد البيانات من الجهاز المخترق، وينقلها إلى خوادم ضارة قبل الإغلاق. يلاحظ الباحثون أن تصميم البرامج الضارة يجعل من الصعب اكتشافه، حيث لا يتطلب مكونات إضافية ويتوقف عن العمل بمجرد اكتمال استخراج البيانات. يسلط فريق التهديد الاستخباراتي في Google الضوء على أن Ghostblade يتخذ أيضًا خطوات لتجنب الاكتشاف عن طريق حذف تقارير الأعطال التي قد تنبه أنظمة القياس عن بُعد من Apple.

بالإضافة إلى المفاتيح الخاصة، فإن البرامج الضارة قادرة على الوصول إلى بيانات المراسلة من iMessage و Telegram و WhatsApp ونقلها. يمكنه أيضًا حصاد معلومات بطاقة SIM وتفاصيل هوية المستخدم وملفات الوسائط المتعددة وبيانات تحديد الموقع الجغرافي والوصول إلى إعدادات النظام المختلفة. يشير Google إلى إطار عمل DarkSword الأوسع، الذي ينتمي إليه Ghostblade، كجزء من مجموعة متطورة من التهديدات توضح كيف يقوم المهاجمون بتحسين مجموعة أدواتهم باستمرار لاستهداف مستخدمي التشفير.

بالنسبة للقراء الذين يتتبعون اتجاهات التهديد، يقع Ghostblade جنبًا إلى جنب مع المكونات الأخرى لسلسلة استغلال DarkSword iOS التي وصفتها Google Threat Intelligence. يتم ملاحظة مجموعة الأدوات في سياق أوسع لتطور تهديد التشفير، بما في ذلك التقارير حول مجموعات الاستغلال المستندة إلى iOS المستخدمة في حملات الاحتيال الإلكتروني للتشفير.

النقاط الرئيسية

• يمثل Ghostblade تهديدًا لسرقة التشفير قائمًا على JavaScript على iOS، يتم تسليمه كجزء من نظام DarkSword البيئي ومصمم لاستخراج البيانات السريعة.
• تعمل البرامج الضارة لفترة وجيزة وغير مستمرة، مما يقلل من احتمالية وجود موطئ قدم طويل الأجل للجهاز ويعقد الاكتشاف.
• يمكنه نقل البيانات الحساسة من iMessage و Telegram و WhatsApp، ويمكنه الوصول إلى معلومات SIM وبيانات الهوية والوسائط المتعددة وتحديد الموقع الجغرافي وإعدادات النظام، مع محو تقارير الأعطال أيضًا لتجنب الاكتشاف.
• يتماشى التطوير مع تحول أوسع في مشهد التهديد نحو تكتيكات الهندسة الاجتماعية واستخراج البيانات التي تستغل السلوك البشري، وليس فقط نقاط الضعف في البرامج.
• انخفضت خسائر اختراق التشفير في فبراير بشكل حاد إلى 49 مليون دولار من 385 مليون دولار في يناير، مما يشير إلى تحول من عمليات التطفل القائمة على التعليمات البرمجية إلى تقنيات الاحتيال الإلكتروني وتسميم المحفظة، وفقًا لـ Nominis.

Ghostblade ونظام DarkSword البيئي: ما هو معروف

يصف باحثو Google Ghostblade كمكون من عائلة DarkSword - مجموعة من أدوات البرامج الضارة القائمة على المتصفح التي تستهدف مستخدمي التشفير عن طريق سرقة المفاتيح الخاصة والبيانات ذات الصلة. يسمح نواة JavaScript الخاصة بـ Ghostblade بالتفاعل السريع مع الجهاز مع بقائها خفيفة الوزن وعابرة. يتوافق اختيار التصميم هذا مع التهديدات الأخرى الأخيرة على الجهاز التي تفضل دورات استخراج البيانات السريعة على الإصابات لفترات طويلة.

في الممارسة العملية، تمتد قدرات البرامج الضارة إلى ما هو أبعد من مجرد سرقة المفاتيح. من خلال الوصول إلى تطبيقات المراسلة مثل iMessage و Telegram و WhatsApp، يمكن للمهاجمين اعتراض المحادثات وبيانات الاعتماد والمرفقات الحساسة المحتملة. يؤدي تضمين معلومات بطاقة SIM والوصول إلى تحديد الموقع الجغرافي إلى توسيع سطح الهجوم المحتمل، مما يتيح سيناريوهات أكثر شمولاً لسرقة الهوية والاحتيال. والأهم من ذلك، أن قدرة البرامج الضارة على مسح تقارير الأعطال تحجب النشاط بشكل أكبر، مما يعقد الطب الشرعي بعد الإصابة لكل من الضحايا والمدافعين.

كجزء من خطاب DarkSword الأوسع، يؤكد Ghostblade على سباق التسلح المستمر في ذكاء التهديد على الجهاز. قامت Google Threat Intelligence بتأطير DarkSword كأحد الأمثلة الأخيرة التي توضح كيف يستمر الفاعلون الخبيثون في تحسين سلاسل الهجوم التي تركز على iOS، واستغلال الثقة القوية التي يضعها المستخدمون في أجهزتهم والتطبيقات التي يعتمدون عليها في الاتصالات والتمويل اليومية.

من عمليات التطفل التي تركز على التعليمات البرمجية إلى استغلال العامل البشري

يعكس مشهد اختراق التشفير في فبراير 2026 تحولاً ملحوظاً في سلوك المهاجم. وفقًا لـ Nominis، انخفضت الخسائر الإجمالية من اختراقات التشفير إلى 49 مليون دولار في فبراير، انخفاضًا حادًا من 385 مليون دولار في يناير. تعزو الشركة الانخفاض إلى التحول بعيدًا عن التهديدات القائمة على التعليمات البرمجية البحتة نحو المخططات التي تستفيد من الخطأ البشري، بما في ذلك محاولات الاحتيال الإلكتروني وهجمات تسميم المحفظة وناقلات الهندسة الاجتماعية الأخرى التي تؤدي إلى كشف المستخدمين عن المفاتيح أو بيانات الاعتماد دون قصد.

يظل الاحتيال الإلكتروني تكتيكًا مركزيًا. ينشر المهاجمون مواقع ويب مزيفة مصممة لتشبه المنصات الشرعية، غالبًا بعناوين URL تحاكي المواقع الحقيقية لإغراء المستخدمين لإدخال المفاتيح الخاصة أو عبارات البذور أو كلمات مرور المحفظة. عندما يتفاعل المستخدمون مع هذه الواجهات المشابهة - سواء عن طريق تسجيل الدخول أو الموافقة على المعاملات أو لصق البيانات الحساسة - يحصل المهاجمون على وصول مباشر إلى الأموال وبيانات الاعتماد. هذا التحول نحو الاستغلال الذي يستهدف الإنسان له آثار على كيفية دفاع التبادلات والمحافظ والمستخدمين عن أنفسهم، مع التركيز على تعليم المستخدم جنبًا إلى جنب مع الضمانات التقنية.

تتماشى نقطة بيانات فبراير مع سرد أوسع للصناعة: بينما تستمر الاستغلالات على مستوى التعليمات البرمجية والأيام الصفرية في النضج، فإن حصة متزايدة من المخاطر على ممتلكات التشفير تأتي من استغلال الهندسة الاجتماعية التي تستغل السلوكيات البشرية الراسخة - الثقة والإلحاح والاستخدام المعتاد للواجهات المألوفة. بالنسبة لمراقبي الصناعة، لا يقتصر الاستنتاج على تصحيح نقاط الضعف في البرامج فحسب، بل يتعلق أيضًا بتقوية العنصر البشري للحماية من خلال التعليم والمصادقة الأكثر قوة وتجارب تأهيل أكثر أمانًا لمستخدمي المحفظة.

الآثار المترتبة على المستخدمين والمحافظ والبناة

يسلط ظهور Ghostblade - والاتجاه المصاحب نحو الهجمات التي تركز على الإنسان - الضوء على العديد من الاستنتاجات العملية للمستخدمين والمطورين على حد سواء. أولاً، تظل نظافة الجهاز حرجة. يمكن أن يؤدي الحفاظ على iOS محدثًا، وتطبيق تدابير تقوية التطبيقات والمتصفح، واستخدام محافظ الأجهزة أو المناطق الآمنة للمفاتيح الخاصة إلى رفع المستوى ضد هجمات الاستخراج السريع.

ثانيًا، يجب على المستخدمين ممارسة الحذر المتزايد مع تطبيقات المراسلة وأسطح الويب. يعني تقارب الوصول إلى البيانات على الجهاز مع الخداع بأسلوب الاحتيال الإلكتروني أن حتى التفاعلات التي تبدو حميدة - فتح رابط أو الموافقة على إذن أو لصق عبارة بذور - يمكن أن تصبح بوابة للسرقة. يمكن أن تساعد المصادقة متعددة العوامل وتطبيقات المصادقة والحماية البيومترية في تقليل المخاطر، ولكن التعليم والشك حول المطالبات غير المتوقعة أمران حيويان بنفس القدر.

بالنسبة للبناة، تؤكد حالة Ghostblade على أهمية ضوابط مكافحة الاحتيال الإلكتروني، وتدفقات إدارة المفاتيح الآمنة، وتحذيرات المستخدم الشفافة حول العمليات الحساسة. كما أنه يعزز قيمة مشاركة استخبارات التهديد المستمرة - خاصة حول التهديدات على الجهاز التي تمزج الأدوات القائمة على المتصفح مع ميزات نظام تشغيل الهاتف المحمول. يظل التعاون عبر الصناعات ضروريًا لاكتشاف سلاسل الاستغلال الجديدة قبل أن تصبح فعالة على نطاق واسع.

ما يجب مراقبته بعد ذلك

بينما تواصل Google Threat Intelligence والباحثون الآخرون تتبع النشاط المرتبط بـ DarkSword، يجب على المراقبين مراقبة التحديثات حول سلاسل استغلال iOS وظهور البرامج الضارة المماثلة الخفية قصيرة المدة. يشير التحول في فبراير نحو نقاط الضعف في العوامل البشرية إلى مستقبل حيث يجب على المدافعين تعزيز كل من الضمانات التقنية والتعليم الموجه للمستخدم لتقليل التعرض للاحتيال الإلكتروني ومخططات تسميم المحفظة. بالنسبة للقراء، تشمل المعالم التالية أي استشارات رسمية لاستخبارات التهديد حول تهديدات التشفير في iOS، والكشف الجديد من بائعي الحماية، وكيفية تكييف المنصات الرئيسية لتدابير مكافحة الاحتيال الإلكتروني والوقاية من الاحتيال استجابة لهذه الكتب المتطورة.

في غضون ذلك، سيكون الإبقاء على عين يقظة على دعامات استخبارات التهديد - مثل تقارير Google Threat Intelligence حول DarkSword واستغلالات iOS ذات الصلة، إلى جانب التحليلات الجارية من Nominis وباحثي أمان البلوكشين الآخرين - ضروريًا لتقييم المخاطر وتحسين الدفاعات ضد الجرائم الإلكترونية التي تركز على التشفير.

تم نشر هذه المقالة في الأصل باسم Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware على Crypto Breaking News - مصدرك الموثوق لأخبار التشفير وأخبار Bitcoin وتحديثات البلوكشين.