عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة حملة هجوم كريبتو كليبر على نظام ويندوز

حملة هجوم كريبتو كليبر على نظام ويندوز

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:

كشف باحثون أمنيون عن تفاصيل عملية متطورة لسرقة العملات المشفرة تعتمد على نظام ويندوز، والتي كانت نشطة منذ فبراير 2026. وتستخدم الحملة برامج خبيثة لمراقبة الحافظة قادرة على الانتشار الذاتي وتستغل شبكة تور لإخفاء هوية المستخدمين لإخفاء البنية التحتية للاتصالات الخاصة بها.

بخلاف عمليات البرمجيات الخبيثة التقليدية التي تعتمد على برامج تثبيت قياسية أو خوادم تحكم وسيطرة (C2) مكشوفة للعامة، يقوم هذا التهديد بنشر عميل Tor محمول وتوجيه جميع البيانات عبر وكيل SOCKS5 محلي. ومن خلال الجمع بين سرقة العملات المشفرة، وتسريب البيانات، وقدرات تنفيذ التعليمات البرمجية عن بُعد، لا تعمل هذه البرمجية الخبيثة كأداة لقص البيانات فحسب، بل كباب خلفي خفيف الوزن أيضًا.

كيف يعمل برنامج كليبر الخبيث

صُمم برنامج كليبر الخبيث لمراقبة نشاط الحافظة لدى الضحية خلسةً، واعتراض المعلومات الحساسة المنسوخة إلى الذاكرة. هدفه الرئيسي هو التلاعب بمعاملات العملات المشفرة من خلال تحديد عناوين المحافظ المرتبطة بتنسيقات البلوك تشين المعروفة، واستبدالها بعناوين بديلة يتحكم بها المهاجم. ونتيجةً لذلك، يمكن تحويل الأموال المخصصة للمستفيدين الشرعيين دون علم الضحية.

تعتمد هذه الحملة على برنامج Windows Script Host ووظائف ActiveX لتشغيل وكيل Tor مضمن والتواصل مع خادم تحكم/تحكم مخفي. يقوم البرنامج الخبيث بمراقبة الحافظة بشكل مستمر، والتقاط لقطات شاشة، وسرقة معلومات متعلقة بالعملات المشفرة، واستبدال عناوين المحافظ في الوقت الفعلي.

سلسلة العدوى ووظيفة الديدان عبر منفذ USB

يبدأ الهجوم بتوزيع ملفات اختصار ويندوز خبيثة (LNK) عبر أجهزة تخزين USB قابلة للإزالة. عند فتح الضحية لأحد هذه الاختصارات، يتم تفعيل مكون دودة. يتحقق البرنامج الخبيث أولاً مما إذا كان النظام مصابًا بالفعل، ولا يقوم بتنزيل الحمولة المتبقية إلا في حال عدم اكتشاف أي إصابة سابقة.

يقوم برنامج LNK الخبيث بالبحث بنشاط في أجهزة USB المتصلة عن تنسيقات المستندات الشائعة، بما في ذلك ملفات DOC وXLSX وPDF. وبمجرد اكتشافها، تُخفى هذه الملفات وتُستبدل بملفات اختصار خبيثة تحمل نفس الأسماء. تزيد هذه التقنية الخادعة من احتمالية قيام المستخدمين بتشغيل البرنامج الخبيث دون علمهم أثناء محاولتهم فتح ما يبدو أنه مستند شرعي.

إلى جانب الاختراق الأولي، يتولى الفيروس مسؤولية نشر العدوى إلى أجهزة USB أخرى غير مصابة. كما يرسخ وجوده من خلال إنشاء مهام مجدولة لكل من الفيروس ومكونات برنامج السرقة.

التهرب المتقدم وتنفيذ الأوامر المستمر

يستخدم مكون القصّ WScript و ActiveXObject للتفاعل مباشرةً مع نظام التشغيل. ولتقليل احتمالية اكتشافه، يتحقق البرنامج الخبيث من العمليات النشطة ويُنهي نفسه تلقائيًا إذا كان مدير المهام قيد التشغيل.

خلال المرحلة الأخيرة من التنفيذ، يتم تشغيل ملف تور ثنائي مُعاد تسميته في نافذة مخفية. ثم يقوم البرنامج الخبيث بإنشاء مُعرّف فريد للضحية وتسجيله في بنيته التحتية البعيدة. بعد التسجيل، يدخل في حلقة تشغيل مستمرة، حيث يقوم باستطلاع خادم التحكم والسيطرة بحثًا عن الأوامر مع مراقبة محتويات الحافظة كل 500 مللي ثانية تقريبًا.

إضافةً إلى جمع بيانات محافظ العملات الرقمية، وعبارات الاسترداد، والمفاتيح الخاصة، يقوم البرنامج الخبيث بالتقاط لقطات شاشة ونقلها عبر شبكة تور. إذا استجاب خادم التحكم والسيطرة بأمر EVAL، يتم تنفيذ التعليمات البرمجية التي يقدمها المهاجم ديناميكيًا على النظام المخترق، مما يوسع بشكل كبير من قدرات التهديد.

المؤشرات الرئيسية والتوصيات الدفاعية

يُنصح فرق الأمن بالتركيز على تقنيات الكشف السلوكي بدلاً من الاعتماد فقط على التوقيعات الثابتة للبرمجيات الخبيثة. وينبغي إيلاء اهتمام خاص لأنشطة التقاط الشاشة المشبوهة باستخدام PowerShell، والاستخدام غير المعتاد لمحركات برمجة Windows النصية مثل WScript أو CScript لتشغيل أدوات مثل curl أو cmd.exe أو PowerShell أو غيرها من الملفات التنفيذية غير المتوقعة.

تشمل التدابير الدفاعية الموصى بها ما يلي:

  • تعطيل وظائف التشغيل التلقائي والتشغيل التلقائي لجميع الوسائط القابلة للإزالة، ومنع تنفيذ ملفات LNK من أجهزة USB من خلال كائنات نهج المجموعة (GPOs)، والحد من الاستخدام غير الضروري لملفات wscript.exe و cscript.exe.
  • أنظمة مراقبة تتعامل مع العمليات المالية أو المتعلقة بالعملات المشفرة لرصد النشاط غير الطبيعي للحافظة، وسلوك التقاط الشاشة غير المصرح به، والاتصالات الشبكية المشبوهة المتعلقة بشبكة تور.

لماذا يبرز هذا التهديد؟

تُظهر هذه الحملة التطور المتزايد للبرمجيات الخبيثة ذات الدوافع المالية. فمن خلال دمج انتشار الديدان عبر منفذ USB، واختراق الحافظة، والاتصالات المُشفرة عبر شبكة Tor، وسرقة لقطات الشاشة، وتنفيذ التعليمات البرمجية عن بُعد في مجموعة أدوات واحدة، ابتكر القائمون على هذه الحملة تهديدًا متعدد الاستخدامات قادرًا على سرقة أصول العملات المشفرة والحفاظ على وصول طويل الأمد إلى الأنظمة المصابة. كما أن استخدام بنية تحتية للخدمات المخفية يزيد من تعقيد جهود الكشف والإزالة، مما يجعل المراقبة السلوكية الاستباقية استراتيجية دفاعية بالغة الأهمية.

المنشورات ذات الصلة

حملة هجوم APT28 FrostArmada

التهديد المستمر المتقدم (APT), البرمجيات الخبيثة, التصيد الاحتيالي
استغلت عملية تجسس إلكتروني متطورة، تُنسب إلى مجموعة التهديد APT28 المرتبطة بروسيا، والمعروفة أيضاً باسم Forest Blizzard، بنية تحتية شبكية ضعيفة لإجراء عمليات مراقبة واسعة النطاق. وقد ركزت هذه الحملة، التي تحمل الاسم الرمزي FrostArmada، والتي بدأت نشاطها منذ مايو 2025 على الأقل، على اختراق أجهزة توجيه MikroTik وTP-Link غير الآمنة، وتحويلها إلى أدوات خبيثة تحت سيطرة المهاجمين. استهدفت هذه العملية...

Medusa Ransomware Attack Campaign

التهديد المستمر المتقدم (APT), برامج الفدية
رُصدت مجموعة لازاروس، وهي جهة تهديد مرتبطة بكوريا الشمالية، وتُعرف أيضاً باسمي دايموند سليت وبومبيلوس، وهي تستخدم برنامج الفدية ميدوسا في هجوم على منظمة لم يُكشف عن اسمها في الشرق الأوسط. كما رصد باحثون أمنيون محاولة اختراق فاشلة قامت بها نفس الجهة استهدفت منظمة رعاية صحية في الولايات المتحدة. تعمل مجموعة "ميدوسا" الخبيثة وفق نموذج "برامج الفدية كخدمة" (RaaS)، وقد أُطلقت عام 2023 من قِبل مجموعة...

حملة هجوم عملية أولالامبو

التهديد المستمر المتقدم (APT), البرمجيات الخبيثة
أطلقت جماعة "مادي ووتر" الإرهابية، المدعومة من إيران، والتي تُعرف أيضاً باسم "إيرث فيتالا" و"مانجو ساندستورم" و"مادي كوست"، حملة إلكترونية جديدة أطلقت عليها اسم "عملية أولالامبو". استهدفت هذه العملية بشكل أساسي منظمات وأفراداً في منطقة الشرق الأوسط وشمال أفريقيا. تم رصد هذه الحملة لأول مرة في 26 يناير 2026، وهي تُدخل العديد من عائلات البرمجيات الخبيثة الجديدة مع إعادة استخدام مكونات سبق ربطها...

حملة هجوم إنترنت الأشياء باستخدام شبكة بوت نت RondoDox

شبكات الروبوتات
كشف محللو الأمن السيبراني عن حملة متواصلة استمرت قرابة تسعة أشهر، استهدفت بنشاط أجهزة إنترنت الأشياء وتطبيقات الويب. وكان الهدف من هذه العملية هو تجنيد الأنظمة الضعيفة في شبكة بوت نت تُعرف باسم RondoDox، مما يدل على صبر المهاجمين ونضجهم العملياتي. React2Shell: نقطة الدخول الحاسمة في ديسمبر 2025، رصد الباحثون حملةً تستغل ثغرة React2Shell (CVE-2025-55182) كآلية وصول أولية رئيسية. هذه الثغرة...
جار التحميل...