كشف موقع Coin Edition أن فريق استخبارات التهديدات في مايكروسوفت أصدر تقريراً عن حملة برمجيات خبيثة جديدة ومتطورة من نوع Crypto Clipper، تتجاوز تقنيات اختطاف الحافظة التقليدية.
فخلافاً للبرمجيات القديمة التي كانت تستبدل عناوين محافظ العملات المشفرة ببساطة، تستخدم هذه الحملة شبكة Tor لتلقي الأوامر السرية، وتنتشر مثل الدودة، وتتعمق في النظام، وتفتح أبواباً خلفية، مما يجعلها تهديداً أكبر بكثير.
وكانت برمجيات القصاصة تُعتبر أدوات بسيطة نسبياً، حيث ينسخ الضحية عنوان محفظة، وتراقب البرمجية الحافظة وتستبدله بعنوان المهاجم، ليرسل الضحية أمواله إلى الشخص الخطأ دون أن يدرك.
لكن تقرير مايكروسوفت يظهر أن المهاجمين تجاوزوا النمط القديم، محولين هذه الحملة إلى أداة اختراق كاملة قادرة على الحفاظ على الوصول بمرور الوقت والتنقل عبر الشبكات وإخفاء آثارها.
استخدام شبكة Tor يمنح المهاجمين قدرة أكبر على التخفي والمراوغة
ونوه الموقع إلى أن أحد أبرز التطورات هو استخدام شبكة Tor، حيث تمكن المهاجمين من إخفاء مواقع خوادمهم الحقيقية، مما يصعّب إغلاقها ويعتم حركة المرور ويغطي آثارهم عند محاولة تعقبهم.
فالبرمجيات التقليدية تعتمد على نطاقات أو عناوين IP يمكن للفرق الأمنية حظرها في النهاية، بينما يمكن للبرمجيات المعتمدة على Tor التبديل باستمرار إلى عناوين خفية جديدة، والبقاء نشطة حتى لو تم إيقاف جزء من الشبكة.
وتكمن مشكلة إضافية في أن العديد من الشركات لا تراقب حركة مرور Tor عن كثب، فإذا بدأ جهاز طرفي بالاتصال فجأة عبر Tor، فقد يكون ذلك علامة على وجود برمجية خبيثة أو سرقة بيانات أو باب خلفي أو مهاجم يرسل أوامر، مما يستدعي تدقيقاً أمنياً فورياً.
ملفات .lnk الخبيثة تسرع انتشار البرمجيات بين الأجهزة
وأفاد الموقع أن مايكروسوفت ذكرت بأن المهاجمين يستخدمون منذ فبراير 2026 ملفات اختصار ضارة (.lnk) لإصابة الأجهزة بالبرمجية الخبيثة، حيث تطلق هذه الملفات مكونين: الأول ينتشر إلى أنظمة أخرى، والثاني يسرق معلومات المحفظة ويرسلها إلى المهاجمين.
وتعمل البرمجية كالدودة في تنقلها بين الأجهزة، مما يزيد من سرعة انتشارها ويجعل احتوائها أكثر صعوبة، خاصة في البيئات الشبكية المترابطة، ويشير هذا الأسلوب إلى تطور ملحوظ في تكتيكات المهاجمين الذين لم يعودوا يكتفون بالهجوم على جهاز واحد، بل يسعون لبناء شبكة من الأجهزة المخترقة لتعظيم أرباحهم وتوسيع نطاق عملياتهم السرقة.
توصيات مايكروسوفت للكشف المبكر والحماية
وأعلنت شركة التكنولوجيا العملاقة أن الفرق الأمنية يجب أن تركز على الكشف السلوكي بدلاً من التوقيعات الثابتة للبرمجيات الخبيثة، مع التأكيد على أهمية التحقيق في الأنظمة التي تشغل محركات البرمجة النصية مثل Wscript أو Cscript لإطلاق curl أو cmd.exe أو PowerShell أو ملفات تنفيذية غير متوقعة أخرى.
وأشارت إلى أن أي حركة مرور إلى localhost:9050 مقترنة بنشاط برمجي غير معتاد تشكل علامة تحذيرية قوية تستدعي التدقيق.
وتنصح مايكروسوفت المؤسسات والأفراد بتحديث برامجهم الأمنية بانتظام، وتوعية المستخدمين بمخاطر فتح الملفات غير المعروفة المصدر، ومراقبة حركة الشبكة بحثاً عن أي اتصالات مشبوهة، خاصة عبر منافذ Tor، للحد من مخاطر هذه البرمجيات المتطورة.