مايكروسوفت تكتشف برمجية خبيثة جديدة تسرق العملات المشفرة…

كشفت شركة مايكروسوفت عن برمجية خبيثة جديدة ذاتية الانتشار أطلقت عليها اسم «كريبتو كليبر»، قادرة على الانتشار عبر وحدات التخزين المحمولة (USB) وسرقة بيانات محافظ العملات المشفرة وإرسالها إلى خوادم يتحكم بها المهاجمون.
اضافة اعلان
وبحسب الشركة، تراقب البرمجية محتوى الحافظة (Clipboard) في الأجهزة المصابة بحثاً عن عناوين محافظ العملات الرقمية أو عبارات الاستعادة السرية المكوّنة عادة من 12 أو 24 كلمة. وعند العثور على هذه البيانات، تلتقط البرمجية خمس صور للشاشة خلال عشر ثوانٍ وترسلها مع المعلومات المسروقة إلى المهاجمين عبر شبكة «تور» التي توفر مستوى عالياً من إخفاء الهوية على الإنترنت.

باب خلفي خفيف وخطير

وأوضحت مايكروسوفت أن البرمجية لا تعتمد على أساليب التثبيت التقليدية أو بنية تحكم قائمة على عناوين إنترنت مباشرة، بل تستخدم نسخة محمولة من برنامج «تور» وتوجّه الاتصالات عبر خادم وكيل محلي من نوع «سوكس 5»، ما يجعل تعقبها أكثر صعوبة.

وقالت الشركة إن هذا الأسلوب يحول أداة سرقة مالية إلى ما يشبه «الباب الخلفي الخفيف»، إذ يتيح للمهاجمين تنفيذ أوامر عن بُعد على الأجهزة المصابة إلى جانب سرقة البيانات.

اقرأ أيضاً

تقنية

علماء يرصدون مجرة على بعد 67 مليون سنة ضوئية – أخبار السعودية

الانتشار عبر وحدات USB

ورصدت مايكروسوفت البرمجية وهي تنتشر من خلال ملفات اختصار تحمل امتداد «إل إن كيه» داخل وحدات التخزين المحمولة. وعند توصيل الوحدة بجهاز جديد، تتحقق البرمجية أولاً مما إذا كانت موجودة مسبقاً على الجهاز، وفي حال عدم وجودها تقوم بتنزيل مكوناتها عبر شبكة «تور».

ولإخفاء آثارها بشكل أفضل، تنشئ البرمجية ملفات اختصار بأسماء مشابهة للملفات الأصلية الموجودة على وحدة التخزين المصابة، ما يصعب على المستخدم اكتشافها.

شاهد أيضاً

تقنية

حساب عنوان Halo بمنصة اكس يصحح معلومة الحاجة لاشتراك الـPlayStation Plus للعب الطور التعاوني بنسخة الـPS5 بتقسيم الشاشة – تروجيمنج

استبدال عناوين المحافظ

لا تكتفي «كريبتو كليبر» بسرقة بيانات المحافظ الرقمية، بل تقوم أيضاً باستبدال عناوين المحافظ التي ينسخها المستخدم بعناوين أخرى تعود للمهاجمين. وبهذه الطريقة يمكن تحويل الأموال إلى محافظ القراصنة دون أن يلاحظ الضحية ذلك.

وترجح مايكروسوفت أن الصور الملتقطة للشاشة تُستخدم لتوفير سياق إضافي يساعد المهاجمين على فهم طبيعة البيانات المسروقة أو استغلالها بشكل أفضل.

مؤشرات الإصابة

أشارت الشركة إلى أن برنامج مايكروسوفت ديفندر يكتشف البرمجية تحت اسم «تروجان: وين 32 / كريبتو بانديتس إيه»، بينما تشمل أبرز مؤشرات الإصابة تشغيل نصوص برمجية مشبوهة، واستخدام المنفذ المحلي 9050 المرتبط بشبكة «تور»، وتنفيذ أوامر لالتقاط صور الشاشة، بالإضافة إلى مراقبة الحافظة أو استبدال عناوين العملات المشفرة.

وحذرت مايكروسوفت من أن هذه الفئة من البرمجيات الخبيثة تظهر كيف يمكن لأدوات صغيرة الحجم ومبنية على نصوص برمجية بسيطة أن تُحدث أضراراً كبيرة عند دمجها مع تقنيات إخفاء الهوية والتحكم عن بُعد.