أصابت برمجية خبيثة تنتشر عبر أجهزة USB أجهزة كمبيوتر تعمل بنظام Windows، مستهدفة محافظ العملات الرقمية، وذلك منذ شهر فبراير، وفقًا لمدونة منشورة من قبل شركة مايكروسوفت.
تُطلق مايكروسوفت على هذه البرمجية اسم “قصاص العملات الرقمية” (crypto clipper)، ويُصنفها برنامج الحماية Defender التابع لها باسم Trojan:Win32/CryptoBandits.
تبدأ القصة عندما يتم توصيل ذاكرة USB مصابة تحتوي على ملف اختصار ضار (shortcut). في نظام Windows، تنتهي أسماء ملفات الاختصار بـ “.lnk”، وهي تُوجه نظام التشغيل لفتح برنامج أو مجلد أو ملف معين موجود في مكان آخر على جهاز الكمبيوتر.
عندما يُدخل المستخدم ذاكرة USB ويضغط على ملف الاختصار، يتم تثبيت نوع من البرمجيات الخبيثة يُعرف باسم “الدودة” (worm) على جهاز الكمبيوتر. بمجرد تثبيتها، تقوم بمهمتين: الأولى هي تشغيل الكود الفعلي لسرقة محفظة العملات الرقمية بشكل مستمر، والثانية هي الانتظار حتى يتم توصيل ذاكرة USB نظيفة وجديدة بنفس الجهاز.
كيف تسرق البرمجية محفظتك الرقمية؟
يقوم جزء سرقة المحفظة بمراقبة “الحافظة” (clipboard) في نظام Windows، وهي الذاكرة المؤقتة المخفية المستخدمة في عمليات النسخ واللصق، وذلك كل 500 مللي ثانية تقريبًا. عندما ينسخ المستخدم عبارة استرداد (seed phrase) أو مفتاح خاص (private key) لمحفظة بيتكوين أو إيثريوم، تلتقط البرمجية هذه البيانات وترسلها إلى خادم المخترق عبر شبكة Tor، وهي شبكة مفتوحة المصدر توفر اتصالًا مجهول الهوية. كما تقوم بالتقاط خمس لقطات شاشة، بفاصل زمني قدره عشر ثوانٍ، وترسلها أيضًا.
الخطر لا يتوقف عند هذا الحد. إذا قام المستخدم بنسخ عنوان مستلم لإرسال الأموال، تقوم الدودة (worm) باستبداله بصمت بعنوان يتحكم فيه المخترق قبل أن يقوم المستخدم بلصقه، مما يؤدي إلى تحويل الأموال إلى المخترق دون أي إشارة مرئية للمستخدم.
كيف تنتشر البرمجية؟
تنتشر الدودة عندما يتم توصيل ذاكرة USB نظيفة بالجهاز المصاب. تقوم بفحص ذاكرة USB النظيفة بحثًا عن الملفات العادية، مثل مستندات Word وجداول Excel وملفات PDF، وتستبدلها بملفات اختصارات جديدة باستخدام نفس الأسماء، وتصيب الذاكرة بالبرمجية الخبيثة. ثم تتكرر الدورة.
كيف تحمي نفسك؟
توصي مايكروسوفت بما يلي:
- تعطيل خاصية التشغيل التلقائي (AutoRun) للأجهزة القابلة للإزالة.
- منع تنفيذ ملفات الاختصار (.lnk) على أجهزة USB عبر إعدادات المجموعة (group policy).
- تقييد تشغيل برامج السكريبت مثل wscript.exe و cscript.exe.
- يمكن لعملاء Microsoft Defender تشغيل استعلامات بحث للتحقق من أي نشاط مشبوه، بما في ذلك الاتصالات بخادم Tor المحلي على المنفذ 9050.
أسئلة شائعة (FAQ)
س: ما هي هذه البرمجية الخبيثة وماذا تفعل؟
ج: هي برمجية تسمى “قصاص العملات الرقمية” تنتشر عبر أجهزة USB. عندما تُصيب جهاز كمبيوتر، فإنها تراقب الحافظة (clipboard) لسرقة عبارات الاسترداد أو المفاتيح الخاصة لمحافظ العملات الرقمية مثل بيتكوين وإيثريوم، وتستبدل عناوين المحافظ المرسلة بعناوين يتحكم فيها المخترق.
س: كيف يمكنني حماية نفسي من هذه البرمجية؟
ج: يمكنك الحماية بتعطيل خاصية التشغيل التلقائي لأجهزة USB، ومنع تشغيل ملفات الاختصار (.lnk) منها، وتقييد برامج السكريبت، وتشغيل استعلامات البحث في برنامج الحماية الخاص بك. كما يُنصح بعدم استخدام أجهزة USB غير موثوقة.
س: كيف تنتشر هذه البرمجية الخبيثة؟
ج: تنتشر عندما يتم توصيل ذاكرة USB نظيفة بجهاز كمبيوتر مصاب. تقوم البرمجية باستبدال الملفات العادية (مثل Word و PDF) الموجودة على الذاكرة النظيفة بملفات اختصارات ضارة بنفس الأسماء. بذلك تتحول الذاكرة النظيفة إلى مصدر جديد للعدوى، وتتكرر دورة الانتشار.
