أعلنت مايكروسوفت عن وجود برنامج خبيث في نظام ويندوز يسرق عبارات الاسترداد والمفاتيح والمحافظ عبر شبكة تور ومحركات أقراص USB

أعلنت مايكروسوفت عن برنامج خبيث يعمل بهدوء منذ فبراير ويستهدف أجهزة ويندوز. هذا البرنامج، المسمى CryptoBandits، قادر على سرقة عبارات الاسترداد والمفاتيح والمحافظ الرقمية عبر شبكة تور، ويمكن نقله عبر محركات أقراص USB. 

في منشور على بتاريخ 17 يونيو، كشف خبراء مايكروسوفت في مجال استخبارات التهديدات وبرنامج مايكروسوفت ديفندر عن حملة خبيثة استنزفت محافظ العملات الرقمية دون أن يلاحظ الضحايا ذلك. وأوضح خبراء أمن مايكروسوفت مزيجًا من أساليب ديدان USB التقليدية وأدوات إخفاء الهوية الحديثة التي جعلت البرنامج الخبيث غير قابل للكشف لعدة أشهر.

بحسب الباحثين، يمكن للحملة الخبيثة تنفيذ عمليات سرقة البيانات من الحافظة، واستبدال عناوين المحافظ الإلكترونية، وانتشار البرامج الضارة كالديدان، والتواصل عبر شبكة تور، كل ذلك في برنامج واحد. كما احتفظ البرنامج بالوصول إلى الجهاز المحلي لفترة طويلة بعد تنفيذ الشفرة الخبيثة. 

توضح مايكروسوفت كيفية تنفيذ العدوى

كشفت مدونة مايكروسوفت المفصلة أن العدوى بدأت بالطريقة التقليدية، عبر ذاكرة فلاش USB. ثم وصل البرنامج الخبيث إلى ملفات الاختصارات الموجودة على محركات الأقراص القابلة للإزالة. وبمجرد توصيلها بجهاز الكمبيوتر، يتم تنشيط مكون الدودة فورًا. 

يقوم مكون الدودة بتعقب الملفات العادية مثل ملفات DOC وجداول البيانات وملفات PDF على الجهاز، ويخفي الملفات الأصلية، ويستبدلها باختصارات وهمية تحمل نفس الأسماء. بمجرد حدوث ذلك، ينقر مستخدمو نظام ويندوز غير المشتبه بهم على هذه الاختصارات، ظنًا منهم أنهم يفتحون ملف Word أو Excel عاديًا، ولكن في الواقع، يؤدي هذا الإجراء إلى تشغيل البرمجية الخبيثة.

ثم ينتشر البرنامج الخبيث إلى محرك أقراص USB الخاص بالجهاز ويقوم بإعداد مهام مجدولة لإبقائه قيد التشغيل بعد إعادة التشغيل، ويستبعد نفسه من عمليات فحص Microsoft Defender. 

عند تفعيل أداة القص الفعلية في المرحلة الثانية، تعتمد الحمولة المستندة إلى البرامج النصية على كائنات Windows ScriptHost و Active X بدلاً من برنامج التثبيت النموذجي، مما يجعل اكتشافها صعبًا للغاية. 

بمجرد اكتمال الإعداد، يقوم البرنامج الخبيث بتشغيل عميل Tor في نافذة مخفية، ويُنشئ مُعرّفًا فريدًا للضحية، ويُسجّل نفسه لدى خادم تحكم مُخفي خلف عنوان Tor onion. وبهذه الطريقة، يستطيع البرنامج الخبيث توجيه المعلومات بنجاح عبر تلك القناة المخفية دون أن يتم اكتشافه. 

مايكروسوفت توضح سبب صعوبة اكتشاف هذا النوع من البرامج الضارة

أوضح فريق أمن مايكروسوفت أن البرمجية الخبيثة تعمل في حلقة مفرغة، حيث تراقب مشغليها وتفحص الحافظة كل نصف ثانية تقريبًا. وقد صُمم البرنامج خصيصًا للتعرف على عبارات BIP39 الأولية المكونة من 12 أو 24 كلمة. 

البرنامج الخبيث بفحص Ethereum مفاتيح Bitcoin الخاصة بصيغة WIF، ويحفظ نسخة احتياطية محلية، ثم يرسلها إلى خادم المهاجمين عبر شبكة تور. صُمم البرنامج لإعادة محاولة تنفيذ نفس الخطوات عدة مرات حتى تنجح عملية الإرسال. بعد ذلك، يحذف البرنامج النسخة المحلية، فقط عند نجاح الإرسال، ويلتقط عدة لقطات شاشة كل ثانية، مما يتيح للمهاجمين الاطلاع على رصيد محفظة الضحية ونشاطها. 

إذا ظهر عنوان محفظة في الحافظة، يمكن للبرمجية الخبيثة استبداله بعنوان يتحكم به المهاجم قبل أن يقوم الضحية بلصقه. عند نسخ عنوان Bitcoin لإرسال دفعة، قد يكون العنوان الموجود في خانة الوجهة ملكًا لشخص آخر تمامًا.

يقوم برنامج Microsoft Defender Antivirus الآن بتصنيف التهديد على أنه Trojan:Win32/CryptoBandits.A، ويراقب Defender for Endpoint سلوكيات مثل عمليات JavaScript المشبوهة وتسريب البيانات القائم على curl.