
یک سرکوب جهانی بدافزارهای «جرایم سایبری به عنوان سرویس» که به آرامی کیف پولهای ارز دیجیتال را خالی میکنند، دهها میلیون دلار از وجوه دزدیده شده را مسدود کرده است.
یوروپل روز چهارشنبه اعلام کرد که مقامات مجری قانون در آخرین مرحله عملیات Endgame، بیش از ۴۱ میلیون یورو (حدود ۴۷ میلیون دلار) داراییهای ارز دیجیتال مجرمانه را شناسایی، پرچمگذاری و مسدود کردهاند. این حمله دو هفتهای و چند کشوری، زیرساخت پشت سه خانواده بدافزاری: SocGholish، Amadey و StealC را از بین برد.
هر سه بدافزار کاربران ارز دیجیتال را هدف قرار میدهند. StealC، یک سرقتکننده اطلاعات (infostealer) که از سال ۲۰۲۳ به عنوان سرویس فروخته میشود، رمزهای عبور، کوکیهای مرورگر و دادههای کیف پول ارز دیجیتال را از ماشینهای آلوده استخراج میکند. محققان در Proofpoint دریافتند که حتی پنل کنترل آن شامل یک افزونه بود که سعی میکرد عبارت بازیابی (seed phrases) کیف پولهای MetaMask قربانیان را رمزگشایی کند.
Amadey نقطه نفوذ اولیه را به دست میآورد و بدافزارهای بیشتری را رها میکند، در حالی که SocGholish، مرتبط با گروه روسی Evil Corp، افراد را از طریق اعلانهای بهروزرسانی مرورگر جعلی در وبسایتهای هک شده آلوده میکند. این بدافزارها با هم، بخش جلویی حملاتی را تشکیل میدهند که منجر به خالی شدن کیف پولها، تصاحب حساب کاربری و باجافزار میشود.
پلیس ۳۲۶ سرور و ۱۴۲ دامنه را از کار انداخت، نزدیک به ۲۷ میلیون اعتبار سرقت شده را از بیش از ۳۸۵,۰۰۰ سیستم آلوده بازیابی کرد و تقریباً ۱۵,۰۰۰ وبسایت آلوده را که بسیاری از آنها متعلق به کسبوکارهای کوچک بودند، پاکسازی کرد. مایکروسافت، یکی از شرکای این عملیات، Amadey و StealC را تنها در دو هفته اول ماه می به بیش از ۱۴۰,۰۰۰ کامپیوتر آلوده در سراسر جهان مرتبط دانست.
سرقتکنندههای اطلاعات به مسیر اصلی برای سرقت ارز دیجیتال تبدیل شدهاند و به آرامی فایلهای کیف پول، کلیدهای خصوصی و عبارتهای بازیابی را از دستگاههای قربانیان خارج میکنند. آنها از روشهای مختلفی برای هدف قرار دادن کاربران ارز دیجیتال استفاده میکنند، از جمله ابزارهای هوش مصنوعی جعلی، تصاویر پسزمینه استیم و مدهای بازیهای کپی شده.
مقیاس این آسیبپذیری گسترده است. یک عملیات Endgame قبلی در اواخر سال گذشته، اطلاعات ورود به بیش از ۱۰۰,۰۰۰ کیف پول ارز دیجیتال را کشف کرد که از قربانیان سرقت شده بودند اما هنوز خالی نشده بودند.
واحد جرایم دیجیتال مایکروسافت به طور جداگانه یک شکایت اخاذی در ایالات متحده تنظیم کرد که برای اولین بار، دو خانواده بدافزاری را به عنوان یک توطئه جنایی واحد در نظر گرفت. با استفاده از ابزارهای هوش مصنوعی از جمله Copilot برای تجزیه و تحلیل بدافزار، محققان دریافتند که Amadey و StealC، اگرچه توسط مجرمان مختلف ساخته شدهاند، اما بر روی زیرساخت مشترکی اجرا میشدند. این امر به مایکروسافت اجازه داد تا عوامل فعالکننده هر دو عملیات را تحت قانون RICO متهم کند و بیش از ۲۰۰ سرور فرمان و کنترل را مختل کند. از آن زمان، این واحد بیش از ۱۸,۰۰۰ کامپیوتر قربانی را شناسایی کرده و کنترل مهاجمان را قطع کرده است.
.@Microsoft Digital Crimes Unit در نُه ماه گذشته پنج عملیات را که امکان «جرایم سایبری به عنوان سرویس» (CaaS) را فراهم میکردند، متوقف کرده است.
جرایم سایبری بر پایه هماهنگی عمل میکنند. مختل کردن آن نیز به همین رویکرد نیاز دارد: همکاری با شرکا برای از بین بردن سیستمهایی که این حملات را ممکن میسازند…
— Microsoft On the Issues (@MSFTIssues) 24 ژوئن 2026
این گونه عملیاتها به ندرت بدافزارها را به طور کامل از بین میبرند و اپراتورها تمایل به بازسازی خود دارند، به طوری که StealC به تازگی در همین ماه یک نسخه جدید منتشر کرده است. در حال حاضر، یوروپل و شرکای آن هشدارهای قربانیان را از طریق خدماتی مانند Have I Been Pwned هدایت میکنند تا کاربران بتوانند بررسی کنند که آیا اعتبارنامههای آنها و کلیدهای کیف پولشان از قبل در دست مجرمان است یا خیر.