كشفت شركة مايكروسوفت عن برمجية خبيثة جديدة ذاتية الانتشار أطلقت عليها اسم «كريبتو كليبر»، قادرة على الانتشار عبر وحدات التخزين المحمولة (USB) وسرقة بيانات محافظ العملات المشفرة وإرسالها إلى خوادم يتحكم بها المهاجمون.
وبحسب الشركة، تراقب البرمجية محتوى الحافظة (Clipboard) في الأجهزة المصابة بحثاً عن عناوين محافظ العملات الرقمية أو عبارات الاستعادة السرية المكوّنة عادة من 12 أو 24 كلمة.
وعند العثور على هذه البيانات، تلتقط البرمجية خمس صور للشاشة خلال عشر ثوانٍ وترسلها مع المعلومات المسروقة إلى المهاجمين عبر شبكة «تور» التي توفر مستوى عالياً من إخفاء الهوية على الإنترنت.
وأوضحت مايكروسوفت أن البرمجية لا تعتمد على أساليب التثبيت التقليدية أو بنية تحكم قائمة على عناوين إنترنت مباشرة، بل تستخدم نسخة محمولة من برنامج «تور» وتوجّه الاتصالات عبر خادم وكيل محلي من نوع «سوكس 5»، ما يجعل تعقبها أكثر صعوبة.
وقالت الشركة إن هذا الأسلوب يحول أداة سرقة مالية إلى ما يشبه «الباب الخلفي الخفيف»، إذ يتيح للمهاجمين تنفيذ أوامر عن بُعد على الأجهزة المصابة إلى جانب سرقة البيانات.
ورصدت مايكروسوفت البرمجية وهي تنتشر من خلال ملفات اختصار تحمل امتداد «إل إن كيه» داخل وحدات التخزين المحمولة.
وعند توصيل الوحدة بجهاز جديد، تتحقق البرمجية أولاً مما إذا كانت موجودة مسبقاً على الجهاز، وفي حال عدم وجودها تقوم بتنزيل مكوناتها عبر شبكة «تور».
ولإخفاء آثارها بشكل أفضل، تنشئ البرمجية ملفات اختصار بأسماء مشابهة للملفات الأصلية الموجودة على وحدة التخزين المصابة، ما يصعب على المستخدم اكتشافها.
لا تكتفي «كريبتو كليبر» بسرقة بيانات المحافظ الرقمية، بل تقوم أيضاً باستبدال عناوين المحافظ التي ينسخها المستخدم بعناوين أخرى تعود للمهاجمين.
وبهذه الطريقة يمكن تحويل الأموال إلى محافظ القراصنة دون أن يلاحظ الضحية ذلك.
وترجح مايكروسوفت أن الصور الملتقطة للشاشة تُستخدم لتوفير سياق إضافي يساعد المهاجمين على فهم طبيعة البيانات المسروقة أو استغلالها بشكل أفضل.
أشارت الشركة إلى أن برنامج مايكروسوفت ديفندر يكتشف البرمجية تحت اسم «تروجان: وين 32 / كريبتو بانديتس إيه»، بينما تشمل أبرز مؤشرات الإصابة تشغيل نصوص برمجية مشبوهة، واستخدام المنفذ المحلي 9050 المرتبط بشبكة «تور»، وتنفيذ أوامر لالتقاط صور الشاشة، بالإضافة إلى مراقبة الحافظة أو استبدال عناوين العملات المشفرة.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك