تكتشف Microsoft بابًا خلفيًا جديدًا خفيف الوزن يسرق العملات المشفرة
تقول Microsoft إنها اكتشفت برامج ضارة جديدة ذاتية النشر تنتشر عبر محركات أقراص USB بحثًا عن بيانات اعتماد العملة المشفرة، والتي ترسلها بعد ذلك إلى الخوادم التي يتحكم فيها المهاجم. أطلقت الشركة اسم Crypto Clipper على الدودة لأنها تراقب محتويات حافظات الأجهزة بحثًا عن أنماط تتوافق مع عناوين المحفظة أو العبارات الأولية. عند العثور على البرنامج الضار، فإنه يأخذ أيضًا خمس لقطات شاشة خلال فترة 10 ثوانٍ. يتم بعد ذلك إرسال كل من بيانات الاعتماد ولقطات الشاشة إلى المهاجم من خلال Tor، وهو بروتوكول شبكة يوفر توجيهًا مجهولاً عن طريق إرسال حركة المرور عبر العقد المتكررة بحيث لا تتمكن السجلات من التقاط عناوين IP المرسلة والمستقبلة. يقوم Crypto Clipper بإنشاء اتصال Tor باستخدام وكيل SOCKS5، وهو بروتوكول شبكة يرسل حركة المرور عبر خادم وكيل، والذي يقوم بعد ذلك بإعادة توجيهها إلى وجهتها النهائية. قالت مايكروسوفت يوم الخميس: “إن تنفيذ أداة القص هذه ملحوظ لأنه لا يعتمد على أداة التثبيت التقليدية أو البنية التحتية المكشوفة المستندة إلى IP C2”. “بدلاً من ذلك، فإنه ينشر عميل Tor محمول، ويوجه حركة المرور عبر وكيل SOCKS5 المحلي، ويمزج سرقة البيانات مع تنفيذ التعليمات البرمجية عن بعد، مما يحول السارق ذي الدوافع المالية إلى باب خلفي خفيف الوزن.” قالت Microsoft إنها لاحظت انتشار Crypto Clipper عبر ملف .lnk على محرك أقراص USB. تقوم هذه الملفات بتخزين التعليمات البرمجية القابلة للتنفيذ. عند توصيل محرك أقراص USB مصاب بجهاز ما، يتحقق الرمز مما إذا كان مثبتًا بالفعل على الجهاز. إذا لم يكن كذلك، تقوم البرامج الضارة بتنزيله من خلال وكيل Tor. لإخفاء أدلة الفيروس المتنقل بشكل أفضل، تقوم البرامج الضارة بفحص محرك أقراص USB المصاب وتسمي ملفات .lnk بأسماء مشابهة.
تم النشر: 2026-06-19 00:28:00
مصدر: arstechnica.com
