برنامج CryptoBandits الخبيث يتيح للمجرمين استخدام محرك USB الخاص بك للوصول إلى محافظ العملات المشفرة – تحذير من مايكروسوفت
تشير أحدث أبحاث Microsoft حول برامج التشفير الضارة إلى محافظ العملات المشفرة، وهي واحدة من عدة أماكن قد تفشل فيها المعاملة، باعتبارها نقطة ضعف عملية رئيسية في الحضانة الذاتية،
يمكن لجهاز Windows المخترق تغيير العنوان الذي ينسخه المستخدم، أو الكشف عن عبارة البذور قبل توقيع التحويل، أو إرسال لقطات الشاشة وسياق المحفظة إلى المهاجم.
في تقرير مدونة الأمان الصادر في 17 يونيو، قالت Microsoft إن برنامج CryptoBandits الضار، الذي تم اكتشافه باسم "CryptoBandits.A"، كان نشطاً منذ فبراير 2026 ووصل إلى الأنظمة من خلال ملفات اختصار Windows الخبيثة على أجهزة تخزين USB.
يقوم البرنامج الضار أيضاً بسرقة أسرار المحفظة، وتبديل العناوين المنسوخة، والتواصل مع البنية التحتية للقيادة والسيطرة عبر Tor. وقالت Microsoft إنه يراقب الحافظة كل 500 ميلي ثانية تقريباً ويبحث عن عبارات البذور والمفاتيح الخاصة وعناوين المحفظة.
تظل المحافظ الصلبة وفحوصات العناوين وانضباط عبارة البذور ضوابط ضرورية. ولكن إذا تعرضت نقطة النهاية التي تتعامل مع سير عمل المحفظة للاختراق، فقد يرى المهاجم السر، أو يغير الوجهة، أو يراقب الشاشة قبل أن يلاحظ المستخدم أي خطأ.
غطّت CryptoSlate من قبل أنماط سرقة المحافظ المجاورة، بما في ذلك استبدال العناوين بأسلوب ClipBanker والبرامج الضارة للمحفظة المرتبطة بـ Microsoft. العنصر الجديد في تقرير Microsoft هو الجمع بين انتشار USB وسرقة الحافظة والتحكم عبر Tor والإرشادات التشغيلية لاكتشاف السلوك.
كيف يحوّل برنامج CryptoBandits الضار اختصارات USB إلى تنفيذ
قالت Microsoft إن الوصول الأولي يتم من خلال ملفات .lnk الخبيثة، بما في ذلك الاختصارات الموزعة على أجهزة تخزين USB. في الحالات التي حللتها Microsoft، يُهيئ الاختصار مكوناً دودياً.
يقوم البرنامج الضار بعد ذلك بفحص محرك USB بحثاً عن ملفات المستندات الشائعة، مثل .doc و.xlsx و.pdf، ويخفي الملفات الأصلية، وينشئ ملفات اختصار جديدة بنفس أسماء الملفات.
والنتيجة فخ مألوف: يعتقد المستخدم أنه يفتح مستنداً من وسائط قابلة للإزالة، لكنه في الواقع يُطلق حمولة الدودة. يتوافق هذا السلوك مع نمط الأمان الأوسع الذي يصفه MITRE ATT&CK بالتكاثر عبر الوسائط القابلة للإزالة، لكن العواقب الخاصة بالعملات المشفرة أكثر مباشرة.
يصبح الجهاز المستخدم لتوقيع أو نسخ أو التحقق من تفاصيل المحفظة جزءاً من سطح الهجوم.
بمجرد تشغيل الاختصار الخبيث، قالت Microsoft إن البرنامج الضار يُسقط حمولات JavaScript مبهمة تحت C:\Users\Public\Documents، ويستخدم المهام المجدولة للثبات، ويحتفظ بمهمة واحدة تركز على الانتشار إلى محركات USB المُدرجة حديثاً. وتُشغّل مهمة أخرى نشاط السرقة.
غالباً ما يبدأ الهجوم بمعالجة ملفات عادية. يمكن أن يضع محرك USB مشترك أو ملف منسوخ أو عادة وسائط قابلة للإزالة قديمة نقطةَ نهاية تتعامل مع المحافظ في حالة غير آمنة قبل فتح أي برنامج محفظة.
يحوّل ذلك الاستخدام الروتيني للوسائط القابلة للإزالة إلى خطر برامج USB الضارة لأي جهاز يتعامل لاحقاً مع سير عمل المحافظ.
ومع ذلك، فإن أساليب الوقاية عملية. اللحظة الخطرة هي تنفيذ الاختصار والثبات الذي يتبعه، قبل بدء أي إجراء للمحفظة.
بالنسبة لشخص أو فريق يتنقل بالعملات المشفرة، قد يكون الجهاز الذي يفتح الوسائط القابلة للإزالة هو نفسه الذي ينسخ لاحقاً عنوان الإيداع، أو يعرض سير عمل الاسترداد، أو يُعدّ تحويلاً للخزانة.
بالنسبة لعمليات المحفظة، تصبح سياسة الوسائط القابلة للإزالة جزءاً من عمليات الحفظ والتخزين. المستخدم أو المكتب الذي يتعامل مع محطة عمل التوقيع كجهاز كمبيوتر للأغراض العامة يرث مخاطر كل سير عمل المستندات المرتبطة بتلك الآلة.
تحتاج الأجهزة المستخدمة لنشاط المحفظة إلى طرق أقل لتنفيذ الاختصارات والنصوص البرمجية والحمولات غير الموثوقة.
يبدأ الهجوم كمشكلة اختصار Windows ثم يتحول إلى مشكلة التحكم في المحفظة. بمجرد اختراق نقطة النهاية، يمنح التسلسل الطبيعي للمستخدم من نسخ العناوين وفحص الشاشات وإعداد المعاملات البرنامجَ الضارَ تماماً المادةَ التي بُني لمراقبتها.
كيف يجعل برنامج CryptoBandits الضار الحافظة مسار المعاملة
يُظهر تحليل Microsoft سبب تفاقم برنامج قص العملات المشفرة عندما تكون الأموال في حضانة ذاتية. بعد التسجيل في خادم القيادة والسيطرة، يدخل البرنامج الضار في حلقة مستمرة تفحص الحافظة كل نصف ثانية تقريباً.
يبحث عن عبارات البذور BIP39 المكونة من 12 أو 24 كلمة، ومفاتيح Bitcoin WIF، ومفاتيح Ethereum، وعناوين العملات المشفرة.
إذا عثر على عبارة البذور أو المفتاح الخاص، قالت Microsoft إن البرنامج الضار يمكنه حفظه محلياً وإخراجه عبر Tor. وإذا رأى عنوان عملة مشفرة منسوخاً، يمكنه استبدال تلك القيمة بعنوان يسيطر عليه المهاجم.
بالنسبة لعدة تنسيقات عناوين، قالت Microsoft إن البرنامج الضار يحاول جعل الاستبدال يبدو مشابهاً بما يكفي للإفلات من الفحوصات العرضية، مثل مطابقة الأحرف الأولى لبعض عناوين Bitcoin أو Tron أو Monero، أو تغيير الحرف الأخير فقط في بعض عناوين Bitcoin بأسلوب Bech32.
تعاملت Microsoft مع استبدال عنوان الحافظة كمشكلة سرقة المحفظة منذ سنوات. في تقرير عام 2022 حول cryware والمحافظ الساخنة، وصفت الشركة القص والتبديل كتقنيات تعترض بيانات المحفظة قبل اكتمال المعاملة.
يُظهر تقرير CryptoBandits.A ذلك النمط المرتبط بانتشار الوسائط القابلة للإزالة وحركة مرور الأوامر المستندة إلى Tor.
يُحدد إرشاد دعم المحفظة الرسمي زاوية الحضانة. تتعامل وثائق MetaMask مع عبارات البذور والمفاتيح الخاصة كأسرار للتحكم في المحفظة وتطلب بشكل منفصل من المستخدمين التحقق من عناوين المستلمين قبل تأكيد الإرسال.
يستهدف CryptoBandits.A كلا جانبي سير العمل هذا: السر الذي يتحكم في المحفظة والعنوان الذي يستقبل الأموال.
| السلوك الملاحظ | مخاطر الحفظ والتخزين | الاستجابة العملية |
|---|---|---|
| ملفات اختصار USB الخبيثة | يمكن لإجراء فتح ملف عادي تشغيل حمولة الدودة. | تعطيل AutoRun أو AutoPlay حيثما أمكن وحظر تنفيذ .lnk من محركات الأقراص القابلة للإزالة. |
| استطلاع الحافظة واستبدال العناوين | يمكن تبديل عنوان المستلم المنسوخ قبل إرسال المعاملة. | التحقق من الوجهة الكاملة على شاشة موثوقة وتجنب الاعتماد فقط على ذاكرة الحافظة. |
| استخراج عبارة البذور والمفتاح الخاص | يمكن أن تغادر أسرار التحكم في المحفظة نقطة النهاية قبل حدوث أي حركة على السلسلة. | إبقاء مواد الاسترداد بعيدة عن الآلات المتصلة بالشبكة ومعاملة التعرض كحدث تدوير للمحفظة. |
| رفع لقطات الشاشة | يمكن للمهاجمين رؤية سياق المحفظة والأرصدة أو سير عمل الاسترداد. | تجنب عرض مواد المحفظة الحساسة على الآلات ذات الاستخدام العام. |
| حركة مرور الأوامر عبر Tor من خلال localhost:9050 | يصبح الحظر المستند إلى الوجهة أصعب لأن حركة المرور يتم توجيهها عبر وكيل محلي. | البحث عن سلاسل من البرنامج النصي إلى الشبكة ونشاط curl وسلوك وكيل SOCKS5 المحلي. |
المحافظ الصلبة تترك مخاطر نقطة النهاية في سير العمل
هذا تحذير محدد لنقطة النهاية بشأن الجهاز المحيط بالمحفظة. يظل عزل المفاتيح الخاصة أحد أقوى الدفاعات ضد كثير من هجمات المحفظة الشائعة.
افتراض ضعيف هو أن الحماية بالأجهزة تغطي كل خطوة في المعاملة. يمكن للمحافظ الصلبة حماية مفاتيح التوقيع، لكنها لا تستطيع جعل حافظة الكمبيوتر المخترق جديرة بالثقة. إذا نسخ المستخدم عنوان إيداع البورصة أو عنوان الدفع أو عنوان تحويل الخزانة على آلة مصابة، فقد يغير البرنامج الضار القيمة قبل أن يلصقها المستخدم.
إذا تحقق المستخدم من عدد قليل من الأحرف المألوفة فقط، فقد يجتاز عنوان استبدال مصمم ليبدو مشابهاً مراجعةً متسرعة.
تُنشئ عبارات البذور وضع فشل أكثر خطورة. تصبح عبارة الاسترداد المكتوبة أو المنسوخة عبر جهاز Windows مخترق خطراً للاختراق عن بُعد.
قالت Microsoft إن البرنامج الضار يمكنه التعرف على عبارات بأسلوب BIP39 واستخراجها إلى خادم القيادة والسيطرة. بمجرد الكشف عن هذا النوع من الأسرار، تمتد المخاطر إلى ما هو أبعد من محاولة تحويل واحدة.
بالنسبة للأفراد، فإن نظافة المحفظة هي جزئياً نظافة الجهاز. بالنسبة للأموال التي تديرها الفرق، تحتاج إجراءات الحفظ والتخزين إلى التعامل مع سلوك نقطة النهاية كجزء من عملية الموافقة على المعاملة.
يجب أن يكون للآلة المستخدمة لفحص الأرصدة وإعداد التحويلات وسد الفجوات بين الأصول أو تحريك الأموال من البورصة ملف مخاطر مختلف عن محطة العمل التي تفتح أيضاً الوسائط القابلة للإزالة المجهولة.
المعيار المفيد هو الفصل. يجب أن يكون لدى الجهاز الذي يتعامل مع نشاط المحفظة أسباب أقل لتشغيل البرامج النصية أو فتح الاختصارات من محركات USB أو نسخ مواد الاسترداد عبر الحافظة.
عندما يعتمد سير العمل على النسخ واللصق، تحمل الوجهة المعروضة على جهاز التوقيع أو الشاشة الموثوقة وزناً أكبر من العنوان المعروض في متصفح أو نافذة محادثة.
إذا كانت هناك شكوك في تعرض محطة العمل، تتغير الاستجابة أيضاً. قد يشمل التعرض أكثر من مجرد عنوان سيئ في معاملة معلقة واحدة.
قد يشمل مواد الاسترداد والمفاتيح الخاصة ولقطات الشاشة وتنفيذ الأوامر على نفس الآلة. هذا يدفع المعالجة نحو عزل نقطة النهاية وتدوير مواد المحفظة المكشوفة ومراجعة أي تحويل تم إعداده على ذلك الجهاز.
يعتمد الاكتشاف على الإشارات السلوكية
تركز إرشادات التخفيف لدى Microsoft على السلوك. توصي الشركة بتعطيل AutoRun وAutoPlay للوسائط القابلة للإزالة، وحظر تنفيذ .lnk من محركات الأقراص القابلة للإزالة عبر نهج المجموعة حيثما أمكن، وتقييد الاستخدام غير الضروري لمضيفي البرامج النصية مثل wscript.exe وcscript.exe، ومراجعة قواعد تقليل سطح الهجوم للبرامج النصية المبهمة وسلاسل العمليات الفرعية المشبوهة.
بالنسبة لفرق الأمان، فإن أقوى الإشارات هي السلوكية. قالت Microsoft إن المدافعين يجب التحقيق في الحالات التي تُطلق فيها محركات البرامج النصية أدوات مثل curl وcmd.exe وPowerShell أو الملفات التنفيذية غير المتوقعة.
كما أشارت إلى نشاط وكيل SOCKS5 المحلي على localhost:9050 والسلوك المرتبط بالحافظة ونشاط التقاط شاشة PowerShell على الأجهزة التي تتعامل مع سير عمل مالي حساس.
تتوافق تلك الإشارات مع عدة تقنيات ATT&CK القياسية، بما في ذلك جمع بيانات الحافظة والقيادة والسيطرة القائمة على الوكيل وثبات المهام المجدولة.
يُدرج Microsoft Defender أيضاً قدرة الكشف لـ CryptoBandits، بما في ذلك Trojan:Win32/CryptoBandits.A واكتشافات JavaScript ذات الصلة، إلى جانب تغطية EDR لعمليات JavaScript المشبوهة والاستخراج القائم على curl ونشاط Task Scheduler.
يترك تقرير Microsoft أعداد الضحايا وإجماليات السرقة المؤكدة والتوزيع الجغرافي ونسب الفاعل المُسمَّى غير مُفصَح عنها. هذا يُقيّد أي ادعاء حول حجم الضرر المالي.
تقوم درس الحفظ والتخزين على السلوك الملاحظ: يمكن اختراق سير عمل المحفظة قبل وصول المعاملة إلى السلسلة.
الخلاصة الفورية هي أن مستخدمي ومشغّلي العملات المشفرة يجب أن يتعاملوا مع نقاط النهاية كجزء من مجموعة المحفظة. ضوابط USB وقيود البرامج النصية والتحقق من العنوان وانضباط الحافظة هي جزء من أمان الحضانة الذاتية.
إنها المسار الذي تسلكه المعاملة قبل وصولها إلى السلسلة.
ظهر المنشور برنامج CryptoBandits الضار يتيح للمجرمين استخدام محرك USB الخاص بك للوصول إلى محافظ العملات المشفرة – تحذر Microsoft لأول مرة على CryptoSlate.
قد يعجبك أيضاً
الرئيس التنفيذي لـ Google يقول إن الذكاء الاصطناعي غيّر صورة الإيرادات كلياً
حصلت TechBBQ الدنماركية على منحة لربط المستثمرين الشماليين بالشركات الناشئة الأفريقية
آدم باك؛ بيع Strategy لـ 32 BTC ليس مؤشراً على السوق الهابط رغم تراجع STRC إلى منخفضة على الإطلاق
