دودة USB تسرق محافظ العملات المشفرة عبر ملفات الاختصارات في ويندوز

أبرز النقاط

• الحملة نشطة منذ فبراير 2026 وتستهدف عبارات الاسترداد ومفاتيح محافظ Bitcoin وEthereum وMonero وTron
• البرمجية تنتشر ذاتياً عبر أجهزة USB وتُخفي الملفات الأصلية مستبدلةً إياها باختصارات خبيثة
• الاتصال بخوادم القيادة والتحكم يتم عبر شبكة Tor مما يُصعّب التتبع والنسب

كشفت Microsoft عن حملة خبيثة نشطة منذ فبراير 2026 تستخدم دودة USB لسرقة العملات المشفرة من خلال ملفات اختصارات ويندوز (LNK). تراقب البرمجية حافظة النظام باستمرار، وتستبدل عناوين المحافظ الرقمية بعناوين يتحكم فيها المهاجمون، فيما تُخفي اتصالاتها عبر شبكة Tor لتفادي الرصد.

كيف تبدأ الإصابة وتنتشر الدودة؟

تنطلق سلسلة الإصابة حين يفتح المستخدم ملف LNK موجوداً على وحدة تخزين USB. يؤدي ذلك إلى تشغيل البرمجية الخبيثة التي تُحمّل حمولات إضافية من عنوان .ONION على شبكة Tor. بعدها تفحص الدودة النظام بحثاً عن ملفات المستندات، فتُخفي النسخ الأصلية وتستبدلها باختصارات تحمل الأسماء ذاتها. وعندما يحاول المستخدم فتح أي مستند، تُنفَّذ البرمجية الخبيثة مجدداً.

تُنشئ الدودة مهمة مجدولة (Scheduled Task) تراقب توصيل أي جهاز تخزين قابل للإزالة. وبمجرد اكتشاف وحدة USB جديدة، تنسخ نفسها إليها وتُولّد ملفات اختصارات خبيثة إضافية، ما يضمن انتشارها إلى أجهزة أخرى دون تدخل المهاجم.

ما البيانات التي تسرقها البرمجية؟

يعمل مكوّن السرقة بعد التحقق من عدم تشغيل إدارة المهام (Task Manager)، ثم يتصل بخادم القيادة والتحكم (C2) عبر ملف تنفيذي لـ Tor باسم ugate.exe. كل نصف ثانية، تفحص البرمجية الحافظة بحثاً عن:

• عبارات الاسترداد BIP39 المكونة من 12 أو 24 كلمة
• مفاتيح Ethereum الخاصة
• مفاتيح Bitcoin بصيغة WIF
• عناوين محافظ Bitcoin بأنواعها: Legacy وP2SH وBech32 وTaproot
• عناوين محافظ Tron
• عناوين محافظ Monero

يختار المهاجمون عناوين بديلة تبدأ بأحرف أو أرقام مشابهة للعناوين الأصلية، مما يُقلّل احتمال اكتشاف الضحية للاحتيال عند النظرة السريعة. وهذا أسلوب معروف في برمجيات clipper التي تستهدف العملات المشفرة.

لقطات الشاشة والتحكم عن بُعد

لا تكتفي البرمجية بسرقة الحافظة، بل تلتقط خمس لقطات شاشة كل عشر ثوانٍ وترسلها إلى خادم C2 باستخدام أداة curl. كما تدعم تنفيذ أوامر عن بُعد؛ إذ يمكن لخادم التحكم إرسال تعليمة EVAL تُجبر البرمجية على تحميل محتوى JavaScript إلى ملف باسم cfile ثم تنفيذه على الجهاز المصاب.

كيف تكتشف الإصابة بهذه الدودة؟

تُشير Microsoft إلى أن المؤشرات السلوكية أكثر فاعلية من التوقيعات التقليدية. توصي الشركة بمراقبة:

• نشاط العمليات على wscript.exe وcscript.exe
• عمليات تشغيل غير متوقعة لـ curl وPowerShell وcmd.exe
• عمليات فرعية غير اعتيادية
• اتصالات بـ localhost:9050 أو أي نشاط وكيل Tor

أي من هذه المؤشرات يستدعي تحقيقاً فورياً، خاصةً في بيئات تتعامل مع أصول رقمية أو محافظ مؤسسية.

ما أهمية هذا التهديد لمنطقة الخليج؟

تتوسع دول الخليج في تبني الأصول الرقمية ضمن رؤى التحول الاقتصادي مثل رؤية السعودية 2030 واستراتيجية الإمارات للبلوك تشين. هذا التوسع يجعل المستخدمين الأفراد والمؤسسات أهدافاً محتملة لبرمجيات clipper. الاعتماد الواسع على أجهزة USB في نقل البيانات بين الجهات الحكومية والخاصة يزيد من مساحة الهجوم، خصوصاً حين تغيب سياسات صارمة للتحكم في الأجهزة القابلة للإزالة.

الأسئلة الشائعة

ما هي برمجية clipper وكيف تسرق العملات المشفرة؟

برمجية clipper تراقب حافظة النظام وتستبدل أي عنوان محفظة رقمية ينسخه المستخدم بعنوان يتحكم فيه المهاجم، فتُحوَّل الأموال إليه دون علم الضحية.

لماذا تستخدم البرمجية شبكة Tor؟

شبكة Tor تُخفي عنوان IP الحقيقي لخادم القيادة والتحكم، مما يُصعّب على فرق الأمن تتبع البنية التحتية للمهاجمين أو إسقاطها.

كيف أحمي نفسي من دودة USB؟

عطّل التشغيل التلقائي لوحدات USB، واستخدم حلول EDR تراقب السلوك، وتحقق يدوياً من عناوين المحافظ قبل تأكيد أي تحويل، ولا تفتح ملفات اختصارات مجهولة المصدر.

هل تستهدف البرمجية أنظمة تشغيل غير ويندوز؟

التحليل الحالي من Microsoft يركز على ويندوز، لكن مبدأ سرقة الحافظة قابل للتطبيق على أنظمة أخرى إذا طُوِّرت نسخ مخصصة.