تخطى إلى المحتوى الرئيسي
شارك

مايكروسوفت تفضح حملة Clipper الخبيثة: سرقة العملات عبر USB وTor

فريق جلتشمنذ 3 ساعات0 مشاهدة6 دقائق
شارك
مايكروسوفت تفضح حملة Clipper الخبيثة: سرقة العملات عبر USB وTor

كشفت مايكروسوفت عن حملة برمجيات Clipper الخبيثة التي تستهدف محافظ العملات الرقمية منذ فبراير 2026. تستخدم الحملة دودة USB LNK وشبكة Tor لسرقة البيانات وتخفي الاتصالات، مما يتطلب يقظة أمنية فائقة.

مقدمة تحليلية

في تطور أمني حاسم، كشفت فرق أبحاث Microsoft Defender Security Research Team تفاصيل مقلقة حول حملة برمجيات خبيثة تستهدف محافظ العملات الرقمية، أطلق عليها اسم 'Clipper'. هذه الحملة النشطة منذ فبراير 2026، تستغل آليات معقدة وغير تقليدية لسرقة البيانات، متجاوزة أنظمة الحماية التقليدية. ما يميز هذه الهجمات هو اعتمادها على دودة USB LNK ذاتية الانتشار وشبكة Tor لإخفاء اتصالات Command-and-Control (C2)، مما يجعل تتبعها واكتشافها تحديًا كبيرًا للمدافعين.

تُظهر هذه الحملة تحولاً في تكتيكات المهاجمين، حيث تستغني عن منصّبات البرامج التقليدية وبنية C2 القائمة على عناوين IP المكشوفة. بدلاً من ذلك، تعتمد على عميل Tor محمول وتوجيه حركة المرور عبر وكيل SOCKS5 محلي، مما يمزج بين سرقة البيانات والتنفيذ عن بعد للتعليمات البرمجية، محولاً برمجية سرقة مالية بسيطة إلى باب خلفي خفيف الوزن ولكنه فعال للغاية. إن فهم آليات هذه الحملة أمر بالغ الأهمية لحماية الأصول الرقمية للمستخدمين.

يُعد الكشف عن هذه التفاصيل بمثابة جرس إنذار للمستخدمين والمؤسسات على حد سواء، خاصة أولئك الذين يتعاملون مع العملات الرقمية أو يستخدمون وسائط تخزين USB بانتظام. فقد تطورت برمجيات Clipper الخبيثة لتصبح أكثر خداعًا وتعقيدًا، مما يتطلب استراتيجيات دفاعية متقدمة تركز على الكشف السلوكي بدلاً من التوقيعات الثابتة التقليدية.

التحليل التقني

تعتمد حملة Clipper على سلسلة معقدة من الآليات التقنية لبلوغ أهدافها. تبدأ العملية عادةً بتوزيع ملف اختصار Windows خبيث (LNK) عبر أجهزة تخزين USB. عند فتح هذا الملف، يتم تشغيل مكون الدودة (worm component) الذي يقوم بفحص الجهاز المستهدف للتأكد من عدم إصابته مسبقًا، ثم يشرع في جلب الحمولة (payload) من خادم بعيد إذا لم تكن موجودة.

  • آلية الانتشار: يقوم ملف LNK الخبيث بفحص جهاز USB بحثًا عن أنواع المستندات الشائعة مثل DOC وXLSX وPDF. إذا عثر على أي منها، يقوم بإخفائها وإنشاء ملفات LNK جديدة بنفس أسماء الملفات، ولكنها تحتوي على وسيطات (arguments) تؤدي إلى تشغيل مكون الدودة. بهذه الطريقة، عندما يفتح المستخدم غير المرتاب الاختصار معتقدًا أنه مستند عادي، يتم تشغيل البرمجية الخبيثة بدلاً من ذلك.
  • مكون الدودة (Worm Component): لا يقتصر دور هذا المكون على ضمان الانتشار إلى محركات أقراص USB الأخرى غير المخترقة فحسب، بل يقوم أيضًا بنشر مهام مجدولة (scheduled tasks) لضمان استمرارية عمل كل من مكون الدودة ومكون السارق (stealer component).
  • مكون Clipper: يستخدم هذا المكون تقنيات Windows Script Host (WScript) وActiveXObject للتفاعل مع نظام التشغيل. يقوم بمراقبة حافظة النظام (clipboard) بتردد عالٍ، حوالي كل 500 مللي ثانية، بحثًا عن أنماط عناوين محافظ العملات الرقمية (مثل عناوين Bitcoin أو Ethereum). عند اكتشاف عنوان محفظة مطابق، يقوم باستبداله بعنوان محفظة يسيطر عليه المهاجم، مما يؤدي إلى تحويل الأموال إلى المحفظة الخبيثة بدلاً من الوجهة المقصودة.
  • التهرب والاختراق: للتهرب من الاكتشاف، يخرج مكون Clipper إذا كان 'Task Manager' من بين قائمة العمليات قيد التشغيل. بالإضافة إلى سرقة بيانات الحافظة، يقوم بجمع لقطات الشاشة (screenshot exfiltration) ومفاتيح المحافظ وعبارات الاسترداد السرية (seed phrases).
  • اتصال C2 عبر Tor: في المرحلة النهائية، تقوم البرمجية الخبيثة بتشغيل برنامج ثنائي Tor (Tor binary) مُعاد تسميته في نافذة مخفية، ثم تولد معرفًا فريدًا للضحية وتسجله لدى الخادم الخارجي. بمجرد اكتمال هذه الخطوة، تدخل البرمجية الخبيثة في حلقة مستمرة، تستطلع خادم C2 بشكل دوري للحصول على تعليمات.
  • تنفيذ التعليمات البرمجية عن بعد: إذا أعاد خادم C2 استجابة 'EVAL'، تقوم البرمجية الخبيثة بتنفيذ التعليمات البرمجية التي يزودها المهاجم في وقت التشغيل (runtime)، مما يمنح المهاجمين قدرة على تنفيذ أوامر إضافية أو تحديث البرمجية الخبيثة.

السياق وتأثير السوق

تُعد برمجيات Clipper الخبيثة ظاهرة ليست جديدة في عالم التهديدات السيبرانية، حيث ظهرت أشكال مختلفة منها منذ سنوات تستهدف أساسًا سرقة العملات الرقمية. لكن حملة Microsoft الأخيرة تسلط الضوء على تطور كبير في أساليب الانتشار والتخفي. فبينما كانت الإصدارات السابقة قد تعتمد على التنزيلات الضارة أو مرفقات البريد الإلكتروني، فإن هذه الحملة تستغل وسائط التخزين القابلة للإزالة (USB drives) كآلية انتشار أولية، مما يزيد من احتمالية الإصابة في البيئات التي يتم فيها تبادل الأجهزة بشكل متكرر أو التي لا تطبق سياسات صارمة للتحكم في USB.

يمثل استخدام شبكة Tor نقطة تحول حاسمة، حيث يوفر للمهاجمين طبقة سميكة من إخفاء الهوية، مما يجعل تتبع خوادم C2 واعتراض الاتصالات تحديًا هائلاً لوكالات إنفاذ القانون والباحثين الأمنيين. على عكس البنية التحتية التقليدية لـ C2 التي قد يتم حظر عناوين IP الخاصة بها أو إزالتها (takedown)، فإن خدمات Tor المخفية (hidden services) أصعب بكثير في التعطيل. هذا يجعل الحملة أكثر مرونة وقدرة على الاستمرار لفترات أطول.

تأثير السوق لهذه الحملة كبير، خاصة على مجتمع العملات الرقمية. إن فقدان الأصول الرقمية بسبب برمجيات Clipper يمكن أن يكون مدمرًا للأفراد والشركات على حد سواء، بالنظر إلى طبيعة المعاملات غير القابلة للاسترداد في معظم سلاسل الكتل (blockchains). كما أن اعتماد الحملة على تقنيات مثل WScript وActiveX، والتي غالبًا ما تكون ممكّنة افتراضيًا في بيئات Windows القديمة أو التي تفتقر إلى التكوينات الأمنية الصارمة، يكشف عن نقاط ضعف في البنية التحتية القديمة أو غير المحدثة.

تُشكل توصيات مايكروسوفت للمدافعين، التي تركز على الاكتشافات السلوكية بدلاً من التوقيعات الثابتة، تحولاً في استراتيجيات الأمن. فهناك حاجة ماسة لمراقبة سلوكيات النظام مثل التقاط الشاشة عبر PowerShell واستخدام WScript أو CScript لتشغيل عمليات غير متوقعة. هذه التوصيات تتجاوز مجرد تحديث البرامج لتشمل تطبيق سياسات أمنية صارمة، مثل تعطيل التشغيل التلقائي/التشغيل التلقائي لجميع وسائط التخزين القابلة للإزالة، وحظر تنفيذ LNK من محركات الأقراص القابلة للإزالة عبر كائنات سياسة المجموعة (GPOs)، وتقييد الاستخدام غير الضروري لـ `wscript.exe` أو `cscript.exe`، ومراجعة سلوكيات الحافظة والتقاط الشاشة على الأجهزة التي تتعامل مع سير عمل مالي حساس.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُظهر حملة Clipper هذه مستوى متزايدًا من التعقيد والتكيف من جانب المهاجمين. إن الجمع بين الانتشار القائم على الدودة، التخفي عبر Tor، وقدرة Clipper على التلاعب بالمعاملات المالية، يخلق تهديدًا متعدد الأوجه يصعب مواجهته بالأساليب الدفاعية التقليدية وحدها. إن حقيقة أن البرمجية الخبيثة تراقب حافظة النظام كل 500 مللي ثانية، جنبًا إلى جنب مع القدرة على التقاط لقطات الشاشة وتنفيذ تعليمات برمجية عن بعد، يحولها من مجرد سارق بسيط إلى أداة تجسس وتحكم شاملة.

أحد القيود التي لا تزال قائمة في هذه الحملة هو اعتمادها الأولي على تفاعل المستخدم لفتح ملف LNK الخبيث. ورغم أن هذا التفاعل يتم عن طريق الخداع، إلا أنه لا يزال يمثل نقطة ضعف يمكن استهدافها من خلال التوعية الأمنية للمستخدمين. ومع ذلك، فإن الطبيعة ذاتية الانتشار عبر USB تزيد من احتمالية حدوث تفاعل عرضي، خاصة في البيئات التي يكون فيها الوعي الأمني منخفضًا.

تُثير المخاوف الأمنية حول هذه الحملة تساؤلات جدية حول فعالية حلول الأمن الحالية. فقدرة البرمجية الخبيثة على العمل في الظل، مستخدمة Tor كقناة اتصال سرية، تعني أن جدران الحماية التقليدية وأنظمة كشف التطفل القائمة على التوقيعات قد تفشل في اكتشافها. كما أن استهدافها المباشر للأصول الرقمية يتطلب من المستخدمين اعتماد إجراءات أمنية متعددة الطبقات، بما في ذلك المحافظ الباردة (cold wallets) والمصادقة متعددة العوامل (MFA) حيثما أمكن.

نتوقع أن تستمر مثل هذه التهديدات في التطور، مع التركيز بشكل أكبر على هندسة اجتماعية أكثر تطوراً لجعل المستخدمين يفتحون ملفات LNK، وتطوير آليات تهرب أكثر تعقيداً تتجاوز مجرد فحص العمليات النشطة. قد نرى أيضًا استهدافًا أوسع لأنواع أخرى من البيانات الحساسة المخزنة في الحافظة، وليس فقط عناوين العملات الرقمية. للحماية المستقبلية، يجب على المؤسسات والأفراد الاستثمار في حلول الكشف والاستجابة لنقاط النهاية (EDR) المتقدمة التي تركز على تحليل السلوك، بالإضافة إلى فرض سياسات أمنية صارمة على استخدام أجهزة USB وتعزيز الوعي الأمني.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.