تحذر Microsoft مستخدمي Windows من برمجية خبيثة CryptoBandits Clipper

فصّلت Microsoft Threat Intelligence حملة برمجية خبيثة لنظام Windows مُسجّلة باسم Trojan:Win32/CryptoBandits.A، وتصف مُقلِّبًا (clipper) ينتشر عبر وسائط التخزين القابلة للإزالة، ويراقب نشاط الحافظة (clipboard)، ويستبدل عناوين العملات الرقمية قبل أن يرسل الضحايا الأموال. تستهدف البرامج الخبيثة واحدة من أكثر العادات شيوعًا في عالم العملات الرقمية: نسخ ولصق عناوين المحافظ، واستبدال عناوين الوجهة الشرعية بأخرى يسيطر عليها المهاجم. تمثل هذه الحملة طريقة سرقة مخصصة للقطاع اللامركزي تستغل الثقة في أقراص USB وروتين سير العمل الخاص بالمعاملات.

برمجية CryptoBandits الخبيثة تراقب الحافظة وتستبدل عناوين العملات الرقمية

تراقب البرامج الخبيثة الحافظة وتستبدل عناوين محافظ تم نسخها بأخرى يسيطر عليها المهاجم. وتذكر تقارير Microsoft أن حملة CryptoBandits تستخدم مراقبة عالية التردد لنشاط الحافظة، ويمكنها أيضًا البحث عن مواد حساسة للعملات الرقمية مثل المفاتيح الخاصة أو عبارات الاسترداد (seed phrases). يقوم المستخدم بنسخ عنوان وجهة شرعي، لكن البرمجية الخبيثة تعترض ذلك العنوان وتستبدله قبل أن يقوم الضحية بلصقه داخل معاملة. تكون عمليات التحويل على السلسلة (Blockchain) صعبة أو مستحيلة الإلغاء، وقد لا يدرك الضحايا ما حدث إلا بعد مراجعة سجل المعاملة.

تنتشر البرامج الخبيثة عبر أقراص USB عبر اختصارات خبيثة

تقول Microsoft إن البرمجية الخبيثة يمكن أن تنتشر عبر وسائط التخزين القابلة للإزالة بإخفاء مستندات حقيقية واستبدالها بملفات اختصار خبيثة تستخدم أسماء مستندات مألوفة. يقوم المستخدم بفتح ما يبدو أنه ملف PDF أو جدول بيانات أو مستند عادي من قرص USB، لكن الاختصار ينفّذ شيفرة خبيثة بدلًا من ذلك. وتفيد Microsoft أيضًا أن الحملة تستخدم بنية تحتية مرتبطة بـ Tor لحركة الاتصال والتحكم (command-and-control). ومن خلال توجيه الاتصالات عبر خدمات مخفية، يمكن للمهاجمين جعل تعطيل البرمجية الخبيثة أصعب وصعوبة فحصها أكبر أمام وسائل الدفاع الشبكي التقليدية.

توصي Microsoft بالتحقق من العنوان قبل إرسال الأموال

تشمل إرشادات Microsoft التحقق من الحرف الأول والحرف الأخير في عنوان الوجهة قبل إرسال الأموال. ولعمليات التحويل الأكبر، ينبغي للمستخدمين استخدام محفظة أجهزة أو شاشة محفظة تعرض العنوان بشكل مستقل عن الكمبيوتر المصاب. كما ينبغي تجنب فتح الملفات من أقراص USB غير معروفة، والحفاظ على تحديث أدوات أمان Windows، والتعامل مع الاختصارات الموجودة على التخزين القابل للإزالة بحذر. إذا ظهرت على قرص فجأة ملفات مألوفة على شكل روابط اختصارات، فهذا يعد علامة تحذير. تركز هذه الحملة على Windows وتستهدف مستخدمي العملات الرقمية الذين يعتمدون على سير عمل النسخ-واللصق الخاصة بعناوين المعاملات.

الأسئلة الشائعة

ماذا تفعل برمجية CryptoBandits الخبيثة بعناوين محافظ العملات الرقمية؟

تراقب البرمجية الخبيثة نشاط الحافظة وتستبدل عناوين محافظ العملات الرقمية التي يتم نسخها بأخرى يسيطر عليها المهاجم قبل أن يقوم الضحايا بلصقها داخل المعاملات. وتقول Microsoft إن البرمجية تستخدم مراقبة عالية التردد لنشاط الحافظة ويمكنها أيضًا البحث عن مفاتيح خاصة أو عبارات الاسترداد.

كيف تنتشر CryptoBandits إلى أجهزة كمبيوتر أخرى؟

تذكر Microsoft أن البرمجية الخبيثة تنتشر عبر وسائط USB القابلة للإزالة عبر إخفاء مستندات حقيقية واستبدالها بملفات اختصار خبيثة تستخدم أسماء مستندات مألوفة. عندما يقوم المستخدم بفتح ملف يبدو عاديًا من قرص USB، ينفّذ الاختصار شيفرة خبيثة بدلًا من ذلك.