تخطى إلى المحتوى الرئيسي
شارك

مايكروسوفت: روبوتات الذكاء الاصطناعي تروّج لبرمجيات تعدين خبيثة

فريق جلتش29 مايو0 مشاهدة5 دقائق
شارك
مايكروسوفت: روبوتات الذكاء الاصطناعي تروّج لبرمجيات تعدين خبيثة

كشفت مايكروسوفت عن حملة خبيثة تستغل روبوتات الذكاء الاصطناعي لتوجيه المستخدمين لمواقع تحميل مفخخة تستهدف معالجات الرسوميات القوية لتعدين العملات المشفرة.

مقدمة تحليلية

في الثامن والعشرين من مايو 2026، أصدرت شركة Microsoft تحذيراً أمنياً بالغ الخطورة يكشف عن تحول نوعي غير مسبوق في استراتيجيات الهندسة الاجتماعية التي تنتهجها مجموعات الجريمة السيبرانية. لم يعد المهاجمون يكتفون بالتلاعب بنتائج محركات البحث التقليدية عبر تقنيات SEO Poisoning، بل انتقلوا رسمياً إلى مرحلة جديدة بالكامل تتمثل في تسميم نتائج نماذج الذكاء الاصطناعي التوليدي LLM-based tools. تسعى هذه الحملة النشطة إلى استدراج المستخدمين الذين يمتلكون أجهزة حاسوب مجهزة بوحدات معالجة رسوميات GPU عالية الأداء، بهدف إخضاع هذه الأجهزة لعمليات تعدين غير مصرح بها للعملات المشفرة Cryptojacking، مع تأسيس قنوات اتصال خلفية تتيح السيطرة الكاملة على الأنظمة المخترقة.

وفقاً للتقرير الصادر عن فريق Microsoft Defender Experts بالتعاون مع فريق أبحاث الأمان في الشركة، فإن المهاجمين لا يستهدفون الكم بل يركزون على الكيف. إنهم يوجهون ضرباتهم بدقة إلى الأنظمة ذات القدرات الحسابية الفائقة لأنها تدر عائداً مالياً أعلى في عمليات تعدين العملات الرقمية مقارنة بالأجهزة العادية المحدودة الموارد. ويمثل هذا التطور ناقوس خطر حقيقي للمحترفين، المصممين، المهندسين واللاعبين الذين يعتمدون على بطاقات الرسوميات المتطورة، حيث تحولت روبوتات الدردشة الذكية التي يثقون بها إلى منصات غير واعية لتمرير وتوصية البرمجيات الخبيثة.

التحليل التقني

تبدأ سلسلة الهجمات المعقدة عندما يقوم المستخدم بالاستفسار من روبوتات المحادثة المدعومة بالذكاء الاصطناعي عن روابط لتحميل أدوات برمجية مشهورة مخصصة لمراقبة العتاد وإدارته. يقوم المهاجمون بتسميم قواعد البيانات ومصادر المعرفة التي تعتمد عليها هذه النماذج لتوليد الإجابات، مما يجعل الروبوت يقدم للمستخدم روابط خبيثة تبدو شرعية تماماً. تشمل قائمة البرمجيات التي يتم تقمص هويتها ما يلي:

  • برنامج CrystalDiskInfo لفحص الأقراص الصلبة وتحليلها.
  • أداة HWMonitor لمراقبة درجات حرارة ومجهود العتاد الداخلي.
  • برنامج Display Driver Uninstaller لإزالة تعريفات الشاشة من جذورها.
  • أداة FurMark لاختبار الضغط والأداء على معالجات الرسوميات.
  • حزمة تشغيل الوسائط الشهيرة K-Lite Codec Pack.
  • برنامج إدارة ملفات المستندات والمكتبات الرقمية PDFgear.

عند نقر المستخدم على رابط التحميل المقترح من قبل الذكاء الاصطناعي، يتم توجيهه إلى نطاق فرعي خبيث يستضيفه المهاجمون على نطاق gleeze[.]com، المرتبط ببنية تحتية تابعة لمزود خدمات النطاقات الديناميكية الشهير Dynu، والذي يسيء المهاجمون استغلاله بكثافة لتمرير برمجياتهم. تم تحديد أكثر من 150 نطاقاً فرعياً نشطاً متورطاً في هذه الحملة حتى الآن. يقوم الموقع بتنزيل ملف مضغوط بصيغة ZIP يحتوي على ملف تنفيذي حقيقي وموثق، إلى جانب مكتبة برمجية ملغومة تحمل اسم autorun.dll. بمجرد قيام المستخدم بتشغيل البرنامج الشرعي، يتم تحميل المكتبة الخبيثة تلقائياً بأسلوب يُعرف تقنياً باسم DLL Sideloading.

تعمل مكتبة autorun.dll على استدعاء أداة التثبيت msiexec.exe لتثبيت مكتبة ثانية تحمل الاسم vcredist_x64.dll، وهي في الواقع نسخة مخصصة ومحزومة من برمجية التحكم عن بعد ScreenConnect التابعة لشركة ConnectWise. بعد نجاح عملية التثبيت، يبدأ عميل ScreenConnect في محاولة الاتصال بشكل مستمر بخادم التحكم والسيطرة C2 الخاص بالمهاجمين على العنوان الرقمي IP: 193.42.11[.]108. يمهد هذا الاتصال الطريق لتحميل وتشغيل ملف تنفيذي خبيث يُدعى SimpleRunPE.exe يتولى المهام الحرجة التالية لضمان البقاء والتحايل داخل النظام:

  • تأسيس الحضور الدائم Persistence في نظام التشغيل من خلال التلاعب بمفاتيح تسجيل ويندوز Registry Run keys وإنشاء مهام مجدولة Scheduled Tasks.
  • استخدام تقنيات التلاعب بالعمليات Process Hollowing لتشغيل شيفرة التعدين تحت مظلة عمليات نظام ويندوز الرسمية الموقعة رقمياً من مايكروسوفت لتفادي الرصد الأمني.
  • إضافة استثناءات أمنية تلقائية داخل جدار الحماية ومكافح الفيروسات Microsoft Defender لمنع فحص المجلدات التي تحتوي على ملفات التعدين.
  • مراقبة العمليات النشطة بشكل فوري لإنهاء برمجية التعدين فوراً وبشكل مؤقت إذا قام المستخدم بفتح برامج المراقبة التالية: taskmgr.exe (Task Manager)، processhacker.exe، procexp.exe، أو systeminformer.exe، وذلك لإخفاء أي استهلاك غير طبيعي لموارد الجهاز أثناء الفحص اليدوي.

في بعض الحالات البديلة، بدلاً من الاعتماد على ScreenConnect لنقل الملفات، يتم استخدام سكربت PowerShell ذكي يقوم بسحب الملف التنفيذي التعديني من وحدة تخزين سحابية، وحفظه محلياً باسم مموه جداً وهو vlc.exe ليوحي بأنه مشغل الوسائط الشهير، قبل أن يقوم السكربت بمسح نفسه تماماً لإخفاء الأثر. تدعم الأداة الخبيثة ثلاثة برامج تعدين شهيرة يتم تشغيلها ديناميكياً بناءً على كفاءة الجهاز المخترق وهي: gminer، lolMiner، و SRBMiner-MULTI.

السياق وتأثير السوق

لم تعد أساليب حماية الويب التقليدية كافية في عصر يهيمن فيه الذكاء الاصطناعي على آلية اتخاذ القرار لدى المستخدمين. في السابق، كانت هجمات SEO Poisoning تتطلب عملاً شاقاً لرفع تصنيف المواقع المزيفة في صفحات Google أو Bing الأولى. اليوم، وعبر تقنيات ترويج البيانات الملوثة ومهاجمة نماذج LLM، يستطيع المهاجمون خداع خوارزميات الذكاء الاصطناعي لتعتمد على مصادرهم الخبيثة كحقائق مسلّم بها عند إجابة تساؤلات الضحايا وتوصية البرمجيات لهم.

يأتي هذا الاكتشاف بالتزامن مع تفصيل مايكروسوفت لاختراق آخر معقد طال جدار حماية F5 BIG-IP متصل بالإنترنت، حيث استغل القراصنة الثقة المتبادلة للانتقال داخلياً إلى خادم Linux ومنه إلى خادم Atlassian Confluence بهدف تنفيذ هجمات ترحيل Kerberos واستغلال الثغرة الأمنية CVE-2025-33073 باستخدام مكتبات ftplib في لغة بايثون. تعكس هذه الحوادث المتزامنة حقيقة مريرة: إن الجهات الفاعلة في التهديد تطور من تكتيكات الاختراق العمودي عبر استغلال العلاقات الائتمانية مع مقدمي الخدمات الخارجيين Third-Party Providers، وتحويل البرمجيات الخدمية الموثوقة إلى نوافذ مشرعة للتسلل وسرقة الهويات الرقمية للمؤسسات الحساسة.

رؤية Glitch4Techs

من منظورنا التحليلي في Glitch4Techs، نرى أن هذا التحول يمثل بداية حقبة مظلمة لثقة المستخدم في أدوات الذكاء الاصطناعي كمحرك بحث بديل. إن السهولة التي تم بها خداع روبوتات الدردشة لتقديم توصيات برمجية تؤدي مباشرة إلى تنزيل برمجيات التعدين والتحكم والسيطرة تكشف عن فجوة أمنية بنيوية هائلة في كيفية قيام الشركات المطورة للـ LLMs بالتحقق من جودة الروابط والمصادر التي يتم زحف الخوارزميات إليها وبناء الإجابات عليها.

ننصح المستخدمين بشدة بعدم النقر إطلاقاً على أي روابط تحميل برمجية يتم توليدها بواسطة روبوتات الذكاء الاصطناعي التوليدي، والعودة بدلاً من ذلك إلى البحث اليدوي المباشر والتحقق من النطاقات الرسمية والشهادات الرقمية للملفات التنفيذية المصاحبة قبل التثبيت. على المستوى المؤسسي، يجب على مديري الشبكات فرض سياسات صارمة لمراقبة الاتصالات الصادرة إلى عناوين الـ IP المشبوهة، وتفعيل ميزات كشف تقنيات الـ DLL Sideloading والتحقق المستمر من استثناءات الأمان المضافة إلى Microsoft Defender لمنع تشغيل برمجيات التعدين المتخفية وراء أسماء مضللة. الثقة العمياء بالتقنيات الناشئة والوسائط الخارجية هي الثغرة الأكبر التي يتغذى عليها مجرمو الإنترنت اليوم.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.