تحذر Microsoft من برمجية خبيثة جديدة تستولي على الحافظة (Clipboard) لمحافظ العملات المشفرة

أفاد كلٌّ من Microsoft Threat Intelligence وMicrosoft Defender Experts في 17 يونيو بأن سلالة جديدة من البرمجيات الخبيثة بدأت تُصيب أجهزة ويندوز منذ فبراير 2026. وتُعدّ التهديدات، التي تحمل اسمًا يُسمّى «clipper» وتقوم Microsoft Defender Antivirus بتصنيفها الآن على أنها «Trojan: Win32/CryptoBandits.A»، مصممة لسرقة العملات الرقمية من المستخدمين عبر مراقبة نشاط الحافظة (clipboard). يعمل هذا البرمجية الخبيثة من خلال مراقبة الحافظة كل حوالي 500 مللي ثانية، ثم يقوم بصمت باستبدال عناوين محافظ العملات الرقمية بعناوين يسيطر عليها المهاجم عندما يقوم المستخدمون بنسخ تفاصيل المعاملات ولصقها. تستغل طريقة الهجوم المعتمدة على الحافظة الممارسة الشائعة المتمثلة في نسخ عناوين المحافظ أثناء معاملات العملات الرقمية، ما يمكّن المهاجمين من إعادة توجيه الأموال دون علم الضحية.

Microsoft Identifies Malware Distribution Method

وبحسب تقرير Microsoft، تبدأ الحملة بملفات اختصار خبيثة (.lnk) يتم توزيعها على محركات تخزين USB. وتقوم البرمجية الخبيثة بتجميع مكوّنين: مكوّن دودة ينتشر ذاتيًا، وآخر متخصص في سرقة البيانات (stealer) يستخرج بيانات المحافظ. تُخفي الدودة مستندات شرعية على جهاز USB وتستبدلها باختصارات متخفية، بحيث يقوم المستخدم عند فتح ملف يبدو مألوفًا في الواقع بتشغيل البرمجية الخبيثة دون أن يدرك ذلك.

كما تبحث البرمجية الخبيثة عن عبارات البذور (seed phrases) والمفاتيح الخاصة، وهي بيانات الاعتماد التي تفتح محافظ العملات المشفرة. وللحفاظ على الاستمرارية، تعمل داخل نافذة مخفية، وتُنشئ مهامًا مجدولة، وتستثني ملفاتها الخاصة من فحص Defender. تتحقق البرمجية الخبيثة أيضًا مما إذا كان «مدير المهام» مفتوحًا، وتغلق نفسها إذا كان كذلك، وهي حيلة لمكافحة التحليل تهدف إلى تفادي أي شخص يحقق في الجهاز.

CryptoBandits Uses Tor-Based Infrastructure

وتذكر Microsoft أن CryptoBandits تُطلق عميل Tor محمولًا وتُمرّر حركة البيانات عبر وسيط (proxy) محلي للوصول إلى خادم قيادة وتحكّم مخفي (command-and-control). يتيح هذا التصميم دمج سرقة البيانات مع تنفيذ أكواد عن بُعد، بحيث يحوّل «السرّاق» الجالب للأموال إلى «باب خلفي» خفيف الوزن يمكنه تشغيل أوامر إضافية يرسلها المهاجم. وتمكّن البنية التحتية القائمة على Tor البرمجية الخبيثة من الحفاظ على قنوات اتصال مراوغة دون الاعتماد على مُثبّتات تقليدية أو خوادم مكشوفة.

FAQ

ما هي برمجية CryptoBandits الخبيثة التي اكتشفتها Microsoft؟
CryptoBandits، التي تم وسمها بواسطة Microsoft Defender Antivirus على أنها «Trojan: Win32/CryptoBandits.A»، هي سلالة من البرمجيات الخبيثة تراقب نشاط الحافظة تقريبًا كل 500 مللي ثانية وتستبدل عناوين محافظ العملات الرقمية بعناوين يسيطر عليها المهاجم. أفاد كلٌّ من Microsoft Threat Intelligence وMicrosoft Defender Experts في 17 يونيو بأنها بدأت تُصيب أجهزة ويندوز منذ فبراير 2026.

كيف تنتشر برمجية CryptoBandits إلى الأجهزة؟
وبحسب تقرير Microsoft، تنتشر البرمجية الخبيثة عبر ملفات اختصار خبيثة (.lnk) يتم توزيعها على محركات تخزين USB. تُخفي مكوّنات الدودة مستندات شرعية على أجهزة USB وتستبدلها باختصارات متخفية تُشغّل البرمجية الخبيثة عندما يفتح المستخدمون ملفًا يبدو مألوفًا.

ما البنية التحتية التي تستخدمها CryptoBandits للتواصل؟
وتذكر Microsoft أن CryptoBandits تُحمّل عميل Tor محمولًا وتُحوّل حركة البيانات عبر وسيط محلي للوصول إلى خادم قيادة وتحكّم مخفي. تتيح البنية التحتية المعتمدة على Tor الحفاظ على قنوات اتصال مراوغة وتنفيذ أوامر عن بُعد.