بدافزار جدید «GoldShovel» در تلگرام کاربران کریپتو را تهدید می‌کند

در تاریخ ۱۱ نوامبر ۲۰۲۵ ، محققان امنیتی از کشف موج جدیدی از بدافزارهای فعال در پیام‌رسان تلگرام خبر دادند. این بدافزار که GoldShovel نام‌گذاری شده، با هدف قرار دادن کاربران فعال در بازار رمز‌ارز، تلاش می‌کند تا کنترل دارایی دیجیتال قربانیان را به‌طور کامل در اختیار مهاجمان قرار دهد.

این حملات از طریق انتشار فایل‌های ظاهراً معتبر در کانال‌های عمومی و خصوصی تلگرام آغاز می‌شود. مهاجمان فایل‌ها را در قالب ابزارهای مربوط به کریپتو نظیر ربات‌ ترید، کیف‌پول جعلی، افزونه‌های امنیتی و نسخه‌های کرک‌شده برنامه‌های مالی منتشر می‌کنند.
کاربران پس از نصب، در واقع بدافزار را اجرا کرده و به مهاجم اجازه دسترسی گسترده می‌دهند.

بنابر یافته‌ها، ‌GoldShovel از قابلیت‌های پنهان‌کارانه استفاده می‌کند و می‌تواند تا مدت طولانی بدون شناسایی روی سیستم باقی بماند. این بدافزار پس از نصب، اقدام به جمع‌آوری اطلاعات حساس کاربر از جمله اطلاعات مرورگر، اطلاعات ذخیره‌شده کیف‌پول‌ها، کلیدهای خصوصی، و کوکی‌ها می‌کند.

کارشناسان اعلام کرده‌اند که تمرکز اصلی GoldShovel روی پلتفرم‌های رمزارزی و صرافی‌ آنلاین بوده و هدف آن دستکاری تراکنش‌ها و انتقال دارایی قربانیان به کیف‌پول مهاجمان است.

جزئیات فنی حمله

GoldShovel مجهز به:

• Keylogger پیشرفته
• قابلیت دستکاری کلیپ‌بورد
• ماژول‌های جداگانه قابل دانلود
• توانایی ارسال و دریافت دستور از سرور فرماندهی (C2)
• امکان دور زدن آنتی‌ویروس‌ها

می‌باشد؛ بدین ترتیب مجرمان می‌توانند هر زمان که بخواهند، ویژگی‌ها و ماژول‌های بیشتر را روی سیستم قربانی بارگذاری کنند.

یکی از خطرناک‌ترین عملکردهای GoldShovel، تغییر خودکار آدرس مقصد تراکنش‌های رمزارزی است. زمانی که کاربر قصد انتقال دارایی دارد، بدافزار به‌طور خودکار آدرس مقصد را به آدرس تعیین‌شده مهاجم تغییر می‌دهد و در نتیجه تمام سرمایه به حساب مهاجم منتقل می‌شود؛ بدون اینکه کاربر متوجه شود.

دامنه گسترش و اهداف

براساس گزارش‌ تحلیلگران، قربانیان GoldShovel شامل:

• معامله‌گران رمزارز
• کاربران کیف‌پول‌های نرم‌افزاری
• صرافی‌های کوچک
• سرمایه‌گذاران مستقل
• کاربران فعال در کانال‌های آموزشی رمزارز

هستند.
در ماه گذشته، چند مورد سرقت از کیف‌پول‌های کاربرانی که ابزارهای آلوده را نصب کرده‌اند، ثبت شده است.

بررسی‌ها نشان می‌دهد مهاجمان از طراحی رابط کاربری حرفه‌ای و هویت جعلی برای جلب اعتماد کاربران استفاده می‌کنند. همچنین بخشی از فایل‌های آلوده در قالب نسخه‌های رایگان ابزارهای پولی کریپتو منتشر شده‌اند، که همین موضوع باعث افزایش نصب آن‌ها شده است.

چرا تلگرام؟

تلگرام به‌دلیل:

• پایداری
• کانال‌های گسترده
• قابلیت اشتراک‌گذاری سریع فایل
• رمزنگاری گفتگوها
• دسترسی ساده کاربران

به یکی از بسترهای محبوب برای توزیع ابزارهای مالی و آموزش رمزارز تبدیل شده است. همین موضوع، فرصت مناسبی برای مهاجمان فراهم می‌کند تا فایل‌های آلوده را بدون نظارت سخت‌گیرانه منتشر کنند.

نشانه‌های آلودگی

کاربرانی که به GoldShovel آلوده شده‌اند معمولاً:

• با کندی ناگهانی سیستم مواجه می‌شوند
• با تغییر آدرس کیف‌پول هنگام انتقال رمزارز روبه‌رو می‌شوند
• فعالیت غیرعادی در مرورگر مشاهده می‌کنند
• ثبت‌نام‌های عجیب روی حساب‌هایشان می‌بینند
• با ظاهر شدن پاپ‌آپ‌ و تغییر تنظیمات روبه‌رو می‌شوند

توصیه‌های امنیتی

برای مقابله با GoldShovel، متخصصان امنیتی پیشنهاد می‌کنند:

• فایل‌ها را فقط از منابع معتبر دانلود کنید
• قبل از تأیید تراکنش، آدرس مقصد را با دقت بررسی کنید
• از کیف‌پول سخت‌افزاری استفاده کنید
• احراز هویت چندمرحله‌ای فعال باشد
• سیستم را به‌روز نگه دارید
• از آنتی‌ویروس قدرتمند استفاده کنید
• از کانال‌های ناشناس تلگرامی دوری کنید

جمع‌بندی

انتشار GoldShovel نشان می‌دهد که مجرمان سایبری به‌دنبال سوءاستفاده از رشد روزافزون صنعت رمزارز هستند.
تلگرام به‌خاطر ماهیت آزاد خود به بستری برای انتشار سریع فایل‌ها تبدیل شده و همین موضوع، خطر حملات را بیشتر کرده است.

برای جلوگیری از سرقت دارایی‌های دیجیتال، لازم است کاربران به‌ویژه معامله‌گران کریپتو، هنگام دانلود برنامه‌ها و ابزارهای معامله‌گری دقت بیشتری داشته باشند.
این تهدید جدید نشان می‌دهد که امنیت در دنیای رمزارز اهمیت دوچندانی دارد و نباید به هر منبعی اعتماد کرد.