Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / AR / 100K RETURNED MALVERTISING

استرداد 100 ألف دولار: تفكيك عملية احتيال العملات الرقمية عبر الإعلانات الخبيثة

The Enablers Registry·Editorial mirror·/ar/100k-returned-malvertising

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

تحقيق • مدة القراءة: 5—7 دقائق

استرداد 100 ألف دولار — إحباط عملية الاحتيال بالإعلانات الخبيثة

انتحل محتالون روس هوية مشروع للعملات المشفرة باستخدام الإعلانات الخبيثة وبرامج ضارة لسرقة البيانات. وقد اكتشفنا هذه العملية، وأعدنا الوصول إلى المحافظ، وأعدنا أكثر من 100 ألف دولار. وتم التبرع بالأموال الإضافية التي تم استردادها إلى @_SEAL_Org. وفيما يلي: تفاصيل العملية، ومؤشرات الاهتمام (IOCs)، والدروس المستفادة.

$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
نُشر في الأصل في متوسط — THE ENABLERS REGISTRY

نظرة عامة

وقع مشروع للعملات المشفرة ضحية لهجوم هندسي اجتماعي تم التستر عليه على أنه شراكة إعلانية مشروعة. وقامت شركة THE ENABLERS REGISTRY باستعادة الوصول إلى المحفظة واسترداد الأموال أكثر من 100,000 دولار في الأموال المخترقة، ثم أعاد توجيه المكافأة المعروضة إلى منظمة خارجية حفاظًا على استقلاله.

ما تحتاج إلى معرفته

  • كانت المحفظة قد تعرضت للاختراق بالفعل؛ وقد تم تحويل الأموال بالفعل.
  • تمت استعادة الخدمة و $100K+ تم منعه من البقاء مع المعتدي.
  • وقد عرض المشروع مكافأة، لكنها رُفضت وحُولت إلى @_SEAL_Org بدلاً من ذلك.
  • يتم تنفيذ هذا العمل بشكل مستقل كجهد شخصي، وليس كوظيفة مدفوعة الأجر.

كيف كانت تعمل عملية الاحتيال هذه

  • تلقى الضحية عرضًا للشراكة أو الإعلان عن لعبة تعمل بالعملات المشفرة.
  • بدا الهجوم مقنعاً: موقع إلكتروني احترافي، وحضور راسخ على X (Twitter)، ومكالمات فيديو تبدو شرعية.
  • خلال المكالمات، طلب المهاجمون تثبيت «برنامج عرض محتويات مكان العمل» للوصول إلى المواد.
  • كان «المشاهد» هو برنامج ضار لسرقة البيانات.
  • قام المهاجمون بسحب الأموال، وتبادل الرموز عبر السلاسل المختلفة، ونقل الأصول إلى محافظهم الخاصة.

الإجراءات التي تم اتخاذها استجابةً لذلك

  1. تم التأكد من حدوث اختراق، وتم إيقاف أي تحركات أخرى.
  2. تمت إعادة حق الوصول إلى المحفظة لمالكها الشرعي.
  3. تم تأمين محفظة الاستلام الخاصة بالمهاجم وإعادة تخصيص السيطرة عليها لفريق الضحية.
  4. خطوات متابعة منسقة للحد من المخاطر المتبقية.
النتيجة: تمت استعادة الوصول، وعادت السيطرة، وتم حظر المهاجم.

تعزيز الأمان بعد وقوع الحادث

أمن الأجهزة

  • إرشادات تفصيلية للتعامل مع الأجهزة المصابة بأمان
  • عزل الشبكة، وإلغاء الجلسات، وتناوب بيانات الاعتماد/المفاتيح، وخطة إعادة البناء النظيفة

الإعداد التشغيلي

  • محطة عمل جديدة ونظيفة مخصصة لعمليات المحفظة
  • نظام تشغيل جديد، تنزيلات حصرية من المورد، محفظة أجهزة، عدد قليل من الإضافات، ملف تعريف متصفح منفصل، المصادقة الثنائية (2FA)

التحضير لفحوصات الطب الشرعي

  • إرشادات حول اللقطات القرصية وجمع سجلات النظام والتطبيقات
  • حفظ الأدلة تحسبًا لإجراء تحقيق قانوني محتمل

فهم مفهوم «التحويل»

الإعلان وهي عبارة عن هندسة اجتماعية على غرار الأعمال التجارية، حيث يقلد المجرمون سير العمل العادي (شراء الإعلانات، والشراكات، والعلاقات العامة) لخداع المستخدمين وتثبيت «برامج عميل» ضارة.

علامات التحذير الشائعة:

  • "قم بتثبيت أداة إدارة الإعلانات/المساعد الخاصة بنا لمزامنة العناصر الإعلانية"
  • "استخدم عميل Zoom/[REDACTED] المخصص لدينا لإجراء المكالمة"
  • "افتح ملفنا الإعلامي/اتفاقية عدم الإفشاء عبر عارض آمن"
القاعدة الأساسية: إذا تطلب سير عمل صادر عن جهات مجهولة استخدام برنامج عميل أو عارض أو أداة تحديث خاصة، فافترض وجود نية عدائية بشكل افتراضي. استخدم فقط التنزيلات الرسمية من المورد.

المكافأة والاستقلالية

  • وقد عرض المشروع مكافأة لأن المبلغ المسترد تجاوز الخسارة الأولية.
  • رفض «THE ENABLERS REGISTRY» الاحتفاظ بالمكافأة.
  • وقد تم توجيه الفائض بأكمله إلى @_SEAL_Org.
  • وهذا يحافظ على الاستقلالية — فلا توجد مصادر تمويل أو التزامات.

المبادئ الأساسية

  • الاستقلال التام — دون أي ميزانيات أو شروط.
  • النهج الذي يركز على النتائج بدلاً من المناقشة.
  • معارضة أي «عملاء خاصين» أو برامج غير مُثبتة.
  • الكشف الانتقائي الذي يساعد الضحايا، وليس الجهات التي تشكل تهديدًا.
  • الضغط المباشر على البنية التحتية للمهاجمين.

توصيات عملية

للمشاريع والفرق

  • لا تقم أبدًا بتثبيت برامج العرض أو العملاء أو برامج التحديث الخاصة بمكان العمل من جهات خارجية غير موثوق بها.
  • احرص على تنزيل تطبيقي Zoom و[REDACTED] من المواقع الرسمية للمطورين فقط.
  • تجنب الروابط الدعائية الخاصة بالمحافظ والجسور وعمليات التوزيع المجاني.
  • يفضل استخدام المحافظ المادية التي تتيح تخزين البذرة دون اتصال بالإنترنت.
  • في حالة التعرض للاختراق: قم بإلغاء الجلسات، وتحويل الأموال، وتغيير المفاتيح، وإعادة إصدار الأسرار، واطلب المساعدة على الفور.

من أجل المجتمع

الخلاصة

على الرغم من أن الأموال قد تم تحويلها بالفعل، فإن THE ENABLERS REGISTRY استعادة الوصول وضمنت عدم تمكن المهاجم من الاحتفاظ بالأصول المسروقة. ومن خلال رفض المكافأة وتوجيه الأموال الفائضة إلى جهات أخرى، تحافظ المنظمة على نموذجها التشغيلي المستقل وغير المدفوع الأجر الذي يركز على الاستجابة السريعة والفعالة للحوادث.

#Adverting#WalletRecovery#StealerMalware#SocialEngineering#CryptoSecurity

شارك هذا التحقيق

التحقيقات ذات الصلة

تحقيق معمق
تحليل هجمات التصيد الاحتيالي في عالم العملات المشفرة: 8 برامج حقيقية لسرقة عبارات البذرة تم تحليلها هندسيًا
التحقيق
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
التحقيق
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings