عملیات فریب شبکه‌های ارواح؛ سوءاستفاده هکرها از اعتبار جعلی برای تزریق بدافزار رباینده کلیپ‌بورد

در این کمپین مخرب که از ژوئن ۲۰۲۶ شتاب گرفته است، مهاجمان سایبری با ایجاد پلتفرم‌های توزیع نرم‌افزار جعلی و پیاده‌سازی «شبکه‌های ارواح»* (Ghost Networks) در گیت‌هاب، سورس‌فورج، یوتیوب و حتی وب‌سایت‌های خبری معتبر، موفق شده‌اند اعتماد کاربران را جلب کرده و یک بدافزار رباینده کلیپ‌بورد* (Clipboard Hijacker) توسعه‌یافته با زبان برنامه‌نویسی راست (Rust) را روی سیستم‌عامل‌های ویندوز و مکینتاش پیاده‌سازی کنند.

مکانیسم دستکاری افکار عمومی و ابزارهای فریب اکوسیستم

آنچه این عملیات را از نمونه‌های سنتی متمایز می‌کند، تمرکز هم‌زمان بر روی چند لایه تأیید اجتماعی (Social Proof)  است:

• ۱. وب‌سایت‌های اصلی و لندینگ پیج‌ها: هکرها با استفاده از یک سایت وردپرسی و با محوریت حساب تلگرامی  @JoseCmanXD، ابزارهای تقلبی موسوم به ربات‌های شکارچی میم‌کوین (Solana Sniper Bots)  یا نرم‌افزارهای پیش‌بینی الگوریتم بازی‌های شرط‌بندی (Aviator Predictor) را تبلیغ می‌کنند.
• ۲. دستکاری گیت‌هاب و سورس‌فورج: مهاجمان با به کارگیری حداقل ۶ حساب کاربری هماهنگ در گیت‌هاب، اقدام به ثبت لایک (Stars) و انشعاب (Forks) جعلی برای مخازن خود کرده‌اند تا ابزارها کاملاً محبوب و تاییدشده به نظر برسند. در پلتفرم سورس‌فورج نیز با ثبت بیش از ۴۴ هزار دانلود کاذب (احتمالاً با استفاده از فارم‌های شبیه‌ساز اندروید)، رتبه برنامه را بالا برده‌اند.
• ۳. ویدیوهای یوتیوب با گویندگان هوش مصنوعی: هکرها با انتشار ویدیوهایی حاوی تصاویر دسکتاپ و یک ارائه دهنده مجازی هوش مصنوعی در گوشه تصویر، فرآیند اجرای ابزار را کاملاً قانونی جلوه می‌دهند. جهش ناگهانی بازدیدها و کامنت‌های مثبت رباتیک نیز این زنجیره را تکمیل می‌کند.
• ۴. نفوذ به وب‌سایت‌های خبری و ویروس‌توتال: شگفت‌آورترین بخش، انتشار مقالات تبلیغاتی پولی یا هک‌شده در سایت‌های خبری حقوقی و مرجع (مانند  The National Law Review) است. علاوه بر این، هکرها با فرستادن اکانت‌های ارواح به پلتفرم ویروس‌توتال (VirusTotal)، برای فایل آلوده کامنت‌های "Safe" و رای مثبت ثبت کرده‌اند تا سیستم‌های تحلیل اعتبار آنتی‌ویروس‌ها را گمراه کنند.
  
  

تحلیل فنی بدافزار رباینده کلیپ‌بورد (نسخه ویندوز)

قربانیان پس از دانلود فایل ZIP، با یک فایل لودر مبتنی بر دات‌نت (.NET Loader) مواجه می‌شوند که وظیفه اصلی آن، اجرای فایل مخفی اصلی به نام silkebin.exe  است که یک بدافزار کلیپ‌بورد (Clipper) توسعه‌یافته با زبان Rust است.

این بدافزار با کپی کردن خود در دایرکتوری %APPDATA%\silke\silke.exe  و ساخت یک میانبر در پوشه Startup  ویندوز، جای پای خود را محکم می‌کند(Persistence). بدافزار با ایجاد یک پنجره مخفی و ثبت خود به عنوان شنودکننده سیستم با استفاده از توابع ویندوزی نظیر AddClipboardFormatListener، هرگونه تغییر در حافظه موقت (Clipboard) سیستم را رصد می‌کند. به محض اینکه کاربر آدرس یک کیف پول رمزارز را کپی کند، بدافزار با استفاده از عبارات باقاعده (Regex)، فرمت آن را تشخیص داده و بلافاصله آدرس هکر را جایگزین می‌کند.
جدول الگوهای تشخیصی (Regex) و حجم ولت‌های تعبیه‌شده در نسخه ویندوز

تحلیل فنی نسخه سیستم‌عامل مکینتاش  (macOS)

مهاجمان برای کاربران سیستم‌عامل مک نیز تله اختصاصی پهن کرده‌اند. فایل دانلودی مک شامل ابزاری به نام unlocker.command  است. از آنجا که سیستم امنیتی مک (Gatekeeper) مانع اجرای برنامه‌های ناشناس می‌شود، این اسکریپت با فریب کاربر و اجرای دستور xattr -cr  قرنطینه امنیتی اپل را پاک کرده و برنامه مخرب را اجرا می‌کند.

این بدافزار پس از اجرا، یک Shell Script در مسیر ~/launch.sh  ایجاد کرده و با ثبت یک فایل تنظیمات plist  در مسیر ~/Library/LaunchAgents/  مکانیزم اجرای خودکار را فعال می‌کند. نکته جالب، وجود یک تابع دیده‌بان ۳۰ ثانیه‌ای (mw_watchdog_copy_and_relaunch) است که به طور مداوم فایل بدافزار را بازنویسی می‌کند تا در صورت حذف دستی توسط کاربر، بدافزار خود را ترمیم کند.

نتیجه‌گیری

این کمپین هشداری جدی برای اکوسیستم امنیت سایبری است؛ چرا که نشان می‌دهد هکرها دیگر انرژی خود را صرفاً روی پیچیدگی کد بدافزار نمی‌گذارند، بلکه لایه‌های اعتبارسنجی جمعی را هدف قرار داده‌اند. زمانی که لایک‌های گیت‌هاب و کامنت‌های ویروس‌توتال قابل خرید و دستکاری باشند، تنها راهکار تدافعی موثر، عدم اعتماد به ابزارهای میانبر مالی و بازبینی دقیق آدرس‌ها پیش از هرگونه انتقال وجه است.

تحلیل و تدوین تخصصی: اتاق تحلیل اخبار امنیت سایبری ۲۴ نیوز (بهراد یوسفی)

رباینده کلیپ‌بورد(Clipboard Hijacker / Clipper): بدافزاری که حافظه موقت سیستم (جایی که متن کپی شده در آن قرار می‌گیرد) را زیر نظر می‌گیرد. از آنجا که آدرس‌های رمزارز طولانی و پیچیده‌اند و کاربران آن‌ها را کپی­پیست می‌کنند، این بدافزار آدرس مقصد را با آدرس هکر عوض می‌کند تا پول به حساب مهاجم واریز شود.

  شبکه‌های ارواح(Ghost Networks): به مجموعه‌ای از هزاران حساب کاربری فیک، ربات یا دستگاه‌های تحت کنترل هکر گفته می‌شود که به صورت هماهنگ به یک پست، ویدیو یا مخزن نرم‌افزاری هجوم می‌برند تا با ثبت لایک، کامنت و دانلود مصنوعی، الگوریتم‌های پلتفرم را فریب داده و آن را معتبر جلوه دهند.

مکانیزم پایدارسازی(Persistence): شگردهایی که بدافزار به کار می‌گیرد تا مطمئن شود حتی پس از ری‌استارت شدن کامپیوتر یا خاموش و روشن شدن آن، مجدداً در پس‌زمینه سیستم اجرا خواهد شد (مانند قرار گرفتن در پوشه Startup ویندوز یا LaunchAgents مک)

تکنیک پاک کردن قرنطینه(xattr -cr): سیستم‌عامل مک به طور خودکار روی فایل‌هایی که از اینترنت دانلود می‌شوند یک تگ یا صفت به نام "Quarantine" (قرنطینه) می‌زند تا کاربر نتواند برنامه‌های تاییدنشده را اجرا کند. دستور xattr -cr  این تگ‌های امنیتی را به صورت ریشه‌ای حذف می‌کند تا برنامه بدون لایه‌های حفاظتی اپل اجرا شود.