
أدت حملة عالمية ضد برمجيات "الجريمة السيبرانية كخدمة" الخبيثة التي تستنزف محافظ العملات المشفرة بهدوء، إلى تجميد عشرات الملايين من الدولارات من الأموال المسروقة.
قالت يوروبول يوم الأربعاء إن سلطات إنفاذ القانون حددت وعلّمت وجمدت أكثر من 41 مليون يورو (حوالي 47 مليون دولار) من أصول العملات المشفرة الإجرامية في المرحلة الأخيرة من عملية "إندغيم". وقد فككت هذه العملية التي استمرت أسبوعين وشملت عدة دول، البنية التحتية وراء ثلاث عائلات من البرمجيات الخبيثة: SocGholish و Amadey و StealC.
تستهدف جميع العائلات الثلاث مستخدمي العملات المشفرة. يقوم StealC، وهو برنامج لسرقة المعلومات يُباع كخدمة منذ عام 2023، بجمع كلمات المرور وملفات تعريف الارتباط الخاصة بالمتصفح وبيانات محفظة العملات المشفرة من الأجهزة المصابة. وقد اشتملت لوحة التحكم الخاصة به على مكون إضافي حاول فك تشفير العبارات السرية لمحافظ MetaMask الخاصة بالضحايا، وفقاً لما وجده باحثون في Proofpoint.
يكتسب Amadey موطئ قدم أولي ويسقط برمجيات خبيثة أخرى، بينما يصيب SocGholish، المرتبط بالمجموعة الروسية Evil Corp، الأشخاص من خلال مطالبات تحديث المتصفح المزيفة على مواقع الويب المخترقة. معًا، يشكلون الواجهة الأمامية للهجمات التي تنتهي باستنزاف المحافظ والاستيلاء على الحسابات وبرمجيات الفدية.
أوقفت الشرطة 326 خادماً و 142 نطاقاً، واستعادت ما يقرب من 27 مليون بيانات اعتماد مسروقة من أكثر من 385 ألف نظام مخترق، وقامت بتنظيف ما يقرب من 15 ألف موقع إلكتروني مصاب، العديد منها يخص شركات صغيرة. ربطت مايكروسوفت، الشريك في العملية، Amadey و StealC بأكثر من 140 ألف جهاز كمبيوتر مصاب حول العالم في الأسبوعين الأولين من شهر مايو وحده.
أصبحت برامج سرقة المعلومات (Infostealers) الطريق الرئيسي لسرقة العملات المشفرة، حيث تقوم برفع ملفات المحافظ والمفاتيح الخاصة والعبارات السرية بهدوء من أجهزة الضحايا. تستخدم هذه البرامج مجموعة متنوعة من الأساليب لاستهداف مستخدمي العملات المشفرة، بما في ذلك أدوات الذكاء الاصطناعي المزيفة وخلفيات Steam وتعديلات الألعاب المقرصنة.
حجم التعرض هائل. كشفت عملية "إندغيم" سابقة في أواخر العام الماضي عن بيانات تسجيل دخول لأكثر من 100 ألف محفظة عملات مشفرة، سُرقت من الضحايا ولكن لم يتم تفريغها بعد.
رفعت وحدة الجرائم الرقمية في مايكروسوفت بشكل منفصل دعوى قضائية أمريكية بتهمة الابتزاز، ولأول مرة، عاملت عائلتين من البرمجيات الخبيثة كمؤامرة إجرامية واحدة. باستخدام أدوات الذكاء الاصطناعي بما في ذلك Copilot لتحليل البرمجيات الخبيثة، وجد المحققون أن Amadey و StealC، على الرغم من بنائهما من قبل مجرمين مختلفين، يعملان على بنية تحتية مشتركة، مما سمح لمايكروسوفت باتهام الميسرين في كلتا العمليتين بموجب قانون RICO وتعطيل أكثر من 200 خادم للقيادة والتحكم. وقد حددت منذ ذلك الحين أكثر من 18 ألف جهاز كمبيوتر ضحية وبدأت في قطع سيطرة المهاجمين.
.@Microsoft Digital Crimes Unit has taken down five operations in nine months that were enabling Cybercrime as a Service (CaaS).
Cybercrime runs on coordination. Disrupting it takes the same approach, working with partners to break up the systems that make these attacks… pic.twitter.com/b7ZVqdCatY
— Microsoft On the Issues (@MSFTIssues) June 24, 2026
نادراً ما تقضي عمليات الإغلاق هذه على البرمجيات الخبيثة بالكامل، ويميل المشغلون إلى إعادة التجمع، حيث قامت StealC بإطلاق نسخة جديدة حديثًا هذا الشهر. في الوقت الحالي، تقوم يوروبول وشركاؤها بتوجيه تنبيهات الضحايا عبر خدمات مثل Have I Been Pwned، حتى يتمكن المستخدمون من التحقق مما إذا كانت بيانات اعتمادهم، ومفاتيح محافظهم، قد وقعت بالفعل في أيدي المجرمين.