جميع المعلومات على هذا الموقع مقدمة من Mubite لأغراض تعليمية فقط. ليست توصية استثمارية أو نصيحة تجارية. التداول في الأسواق المالية ينطوي على مخاطر كبيرة. Mubite ليست وسيطاً ولا تقبل الودائع.
Mubite s.r.o., Školská 660/3, Nové Město, ICO: 23221551 Praha 1, 110 00, Czech Republic | حقوق النشر © 2025 Mubite. جميع الحقوق محفوظة.
حددت مايكروسوفت دودة تنتشر عبر منفذ USB تسمى CryptoBandits، والتي قامت بتبديل عناوين محافظ العملات المشفرة بصمت منذ فبراير 2026. إليك كيفية عملها بالضبط.
كشفت وحدة استخبارات التهديدات في مايكروسوفت في 17 يونيو أنها تتعقب حملة برامج ضارة لنظام التشغيل ويندوز منذ فبراير 2026 تنتشر من خلال محركات أقراص USB المصابة وتختطف عمليات تحويل العملات المشفرة بصمت.
يراقب هذا البرنامج الخبيث، الذي يتعرف عليه برنامج مكافحة الفيروسات Microsoft Defender تحت اسم Trojan:Win32/CryptoBandits، حافظة الضحية كل 500 مللي ثانية تقريبًا، ويستبدل عناوين المحافظ المنسوخة بعناوين يتحكم بها المهاجم قبل أن يقوم المستخدم بلصقها. تتم المعاملة بشكل طبيعي على شاشة الضحية، لكن الأموال تذهب إلى مكان آخر تمامًا.
أسلوب الإصابة قديم، لكن التنفيذ متطور بشكل غير عادي بالنسبة لما يعتبر عادةً فئة بسيطة من البرامج الضارة.
يبدأ الهجوم عند توصيل قرص USB نظيف بجهاز مصاب بالفعل. يقوم الفيروس بفحص القرص بحثًا عن ملفات شائعة، بما في ذلك مستندات Word وجداول بيانات Excel وملفات PDF، ثم يخفي الملفات الأصلية ويستبدلها بملفات اختصار خبيثة تحمل نفس الأسماء والأيقونات.
عند توصيل ذاكرة USB هذه لاحقًا بجهاز كمبيوتر آخر، وعندما ينقر المستخدم على ما يبدو أنه مستنده الخاص، يقوم مستكشف ويندوز بمعالجة ملف .lnk الخبيث تلقائيًا، ويتم تنفيذ الحمولة في غضون ثوانٍ. لا يوجد تنزيل، ولا بريد إلكتروني تصيدي، ولا رابط مشبوه. مجرد ذاكرة USB تبدو طبيعية تمامًا.
بمجرد تفعيلها على جهاز جديد، تقوم البرمجية الخبيثة بتشغيل عمليتين في وقت واحد. تبدأ بمراقبة الحافظة بحثًا عن بيانات قيّمة، وتنتظر محرك أقراص USB نظيفًا آخر لتكرار دورة الانتشار.
يستهدف برنامج CryptoBandits ثلاث فئات محددة من بيانات الحافظة، وفهم كل منها أمر مهم لتقييم مدى تعرضك للخطر:
عبارات الاسترداد والمفاتيح الخاصة. إذا قمت بنسخ عبارة استرداد المحفظة أو مفتاحها الخاص لأي سبب، ولو لفترة وجيزة، فإن البرامج الضارة تستولي عليها وترسلها إلى خادم المهاجم عبر شبكة تور.
لقطات الشاشة. يقوم البرنامج الخبيث بالتقاط خمس لقطات شاشة بفارق عشر ثوانٍ كلما اكتشف نشاطًا ذا صلة بالحافظة، مما يوفر سياقًا مرئيًا يمكن للمهاجم استخدامه لتأكيد ما تم سرقته.
عناوين محافظ المستلمين. هذه هي أخطر ميزة. عند نسخ عنوان وجهة لإرسال الأموال، يقوم البرنامج الخبيث باستبداله تلقائيًا بعنوان يتحكم به المهاجم قبل لصقه. ترى عنوانك. تؤكد العملية. تذهب الأموال إلى المهاجم.
وجد تحليل مايكروسوفت أن البرامج الضارة تستخدم Windows Script Host ومنطق ActiveX لتشغيل وكيل Tor المدمج والتواصل مع خادم تحكم وخدمة مخفية.
كما يقوم البرنامج الخبيث بإعداد مهام مجدولة لضمان استمراريته، ما يعني أنه يبقى فعالاً حتى بعد إعادة تشغيل الخادم ويواصل المراقبة إلى أجل غير مسمى. وإذا استجاب خادم المهاجم بأوامر محددة، فبإمكان البرنامج الخبيث تنفيذ تعليمات برمجية إضافية أثناء التشغيل، ما يمنحه قدرات تتجاوز أدوات سرقة المحافظ الإلكترونية التقليدية.
من خلال تحليل الحوادث التي أجريناها في هذا المجال الأمني، تبين أن برامج التجسس القياسية التي تستهدف الوصول إلى الحافظة موجودة منذ سنوات، ويسهل اكتشافها نسبيًا لأنها تتطلب عادةً اتصالاً مستمرًا بالإنترنت بخادم ثابت. أما برنامج CryptoBandits، فيوجه جميع الاتصالات عبر شبكة Tor، مما يُخفي هوية البنية التحتية للتحكم والسيطرة، ويجعل اكتشافه عبر الشبكة أكثر صعوبة.
يُعدّ انتشار البرامج الضارة عبر منافذ USB، على غرار انتشار الديدان، تصعيدًا خطيرًا. تنتشر معظم البرامج الضارة الحديثة عبر رسائل البريد الإلكتروني التصيدية، والإعلانات الخبيثة، أو الملفات المُنزّلة. ويتجاوز الانتشار المادي عبر وسائط التخزين القابلة للإزالة فلاتر البريد الإلكتروني، وتحذيرات أمان المتصفحات، ومعظم أدوات الكشف عن التهديدات على نقاط النهاية المُصممة خصيصًا للتهديدات الشبكية. وقد أكدت شركة الأمن NS3.AI تأثر المستخدمين منذ فبراير، وشاركت منصة Binance تحذير مايكروسوفت مباشرةً مع قاعدة مستخدميها بعد الكشف عن هذه المشكلة.
إن إجراءات التخفيف التي توصي بها مايكروسوفت محددة وتستحق التنفيذ الفوري بغض النظر عما إذا كنت قد لاحظت أي شيء غير عادي أم لا:
قم بتعطيل خاصيتي التشغيل التلقائي والتشغيل التلقائي لجميع الوسائط القابلة للإزالة على كل جهاز يعمل بنظام ويندوز تستخدمه للتداول.
قم بحظر تشغيل ملفات .lnk من محركات أقراص USB على مستوى سياسة النظام إذا كان نظام التشغيل الخاص بك يسمح بذلك.
لا تقم أبدًا بنسخ ولصق عنوان محفظة دون التحقق بصريًا من أن الأحرف الأولى والأخيرة تتطابق مع ما تتوقعه، في كل مرة.
تجنب نسخ عبارات الاسترداد أو المفاتيح الخاصة إلى الحافظة نهائيًا. اكتبها مباشرةً أو استخدم محفظة أجهزة لا تعرض المفتاح لنظام التشغيل.
تحقق من أنظمتك بحثًا عن مؤشرات الاختراق التي نشرتها مايكروسوفت في مدونتها الأمنية إذا كنت قد استخدمت محركات أقراص USB غير مألوفة على جهاز تداول منذ فبراير.
تُعدّ عادة التحقق من العنوان أهمّ وسيلة دفاعية في هذه الحالة. يعتمد نموذج عمل البرمجيات الخبيثة بالكامل على ثقة الضحية بأنّ ما تمّ نسخه هو ما تمّ لصقه. يستطيع التاجر الذي يتحقق يدويًا من الأحرف الأربعة الأولى والأخيرة من أيّ عنوان وجهة قبل تأكيد التحويل، صدّ هذا الهجوم تحديدًا، بغضّ النظر عمّا إذا كانت البرمجيات الخبيثة موجودة على جهازه أم لا.
يقضي المتداولون الممولون وقتاً طويلاً في التفكير في حدود الخسائر ، وحجم المراكز، ومخاطر السوق. وتُعدّ حملة "كريبتو بانديتس" بمثابة تذكير بأنّ الحاسوب الذي يُنفّذ صفقاتك يُشكّل جزءاً من نطاق المخاطر التي تواجهها أيضاً.
لا يكترث برنامج اختراق الحافظة بمدى انضباط استراتيجية التداول الخاصة بك. فهو لا يحترم أوامر وقف الخسارة أو حد الخسارة اليومي. ببساطة، ينتظر عملية تحويل الأموال ويعيد توجيهها. من خلال ما لاحظناه في الحوادث الأمنية التي رصدناها هذا العام، فإن المتداولين الذين يتجنبون هذا النوع من الخسائر تمامًا ليسوا بالضرورة الأكثر خبرةً من الناحية التقنية.
إنهم من يعتبرون التحقق الأساسي عادةً لا تقبل المساومة، تمامًا كما يتعاملون مع إدارة المخاطر في كل صفقة. تحقق من كل عنوان. استفسر عن كل ذاكرة فلاش غير مألوفة. تكلفة التحقق ثوانٍ معدودة، أما تكلفة عدم التحقق فلا حدود لها.
Share it with your community
