الأمن السيبراني والخصوصية

تحذير من مايكروسوفت: برمجية خبيثة "Crypto Clipper" تنتشر عبر محركات الأقراص USB وتحول أجهزة ويندوز إلى أبواب خلفية

بقلم Mag-Info Tech editorial · 2026-06-19

ما هي برمجية Crypto Clipper وكيف تعمل؟

برمجية Crypto Clipper هي نوع متطور من البرمجيات الخبيثة التي تستهدف مستخدمي العملات الرقمية، حيث تعمل على سرقة بيانات المحافظ الرقمية من خلال مراقبة حافظة النظام (clipboard) في نظام ويندوز. وقد حذر باحثو مايكروسوفت من انتشار نسخة جديدة من هذه البرمجية، التي لم تعد تقتصر على سرقة البيانات المالية فحسب، بل أصبحت تعمل كأداةDoor خلفية تسمح للمهاجمين بتنفيذ أوامر برمجية عشوائية على الأجهزة المصابة. هذا التحول يجعلها أكثر خطورة بكثير من البرمجيات الخبيثة التقليدية، حيث يمكن استخدامها لنشر رانسوموير (برمجيات الفدية) أو تنفيذ هجمات متقدمة أخرى.

تعمل هذه البرمجية من خلال استبدال العناوين الخاصة بالمحافظ الرقمية المخزنة في حافظة النظام بأخرى تابعة للمهاجمين، مما يؤدي إلى تحويل الأموال إلى محافظهم بدلاً من المحافظ الأصلية. كما تقوم بسرقة البيانات الحساسة مثل عبارات الاستعادة (BIP39) ومفاتيح الخصوصية الخاصة ببيتكوين وإيثيريوم. بالإضافة إلى ذلك، تستخدم البرمجية تقنيات متقدمة لإخفاء وجودها، مثل استبدال الملفات الشرعية باختصارات خبيثة تؤدي إلى تنشيط البرمجية عند فتحها، وانتشارها تلقائياً عبر محركات الأقراص USB المتصلة بالأجهزة المصابة.

آلية انتشار البرمجية عبر محركات الأقراص USB

أحد الجوانب الأكثر إثارة للقلق في هذه البرمجية هو способ انتشارها، والذي يعتمد بشكل أساسي على محركات الأقراص USB. حيث تقوم البرمجية بإخفاء ملفاتها الخبيثة داخل محركات الأقراص المتصلة بالأجهزة المصابة، مما يسهل انتقالها إلى أجهزة أخرى عند توصيل هذه المحركات بها. هذه الآلية تجعلها قادرة على الانتشار في البيئات التي تعتمد على استخدام محركات الأقراص الخارجية، مثل المكاتب أو المؤسسات التي لا تفرض سياسات صارمة لمنع استخدام هذه الأجهزة.

تعتمد البرمجية أيضاً على إنشاء مهام مجدولة (scheduled tasks) في نظام ويندوز لتنشيط مكوناتها الخبيثة بانتظام، مما يضمن استمرارية عملها حتى بعد إعادة تشغيل الجهاز. كما تقوم بإخفاء نسخة من شبكة تور (Tor) داخل الجهاز تحت اسم مستعار (ugate.exe) لاستخدامها في التواصل مع خوادم التحكم والسيطرة (C2) التابعة للمهاجمين عبر شبكة الإنترنت المظلمة، مما يصعب عملية تتبعها من قبل Behörden الأمنية.

كيف تحول البرمجية أجهزة ويندوز إلى أبواب خلفية

على عكس البرمجيات الخبيثة التقليدية التي تقتصر على سرقة البيانات، فإن هذه النسخة من Crypto Clipper تعمل كأداةDoor خلفية، مما يمنح المهاجمين القدرة على التحكم الكامل في الأجهزة المصابة. حيث يمكنهم دفع وتنفيذ أوامر برمجية عشوائية، مما يفتح الباب أمام مجموعة واسعة من الهجمات المستقبلية، بما في ذلك نشر برمجيات الفدية أو سرقة المزيد من البيانات الحساسة.

تعتمد هذه القدرة على وجود مكون خبيث قادر على تنفيذ أوامر remotely، والذي يتم تنشيطه عبر شبكة تور لضمان عدم كشف هوية المهاجمين. كما تستفيد البرمجية من قدرتها على سرقة البيانات المالية الفورية، مثل عبارات الاستعادة ومفاتيح الخصوصية، مما يوفر للمهاجمين طرقاً فورية لتحقيق العائد المالي من الهجمات، بينما يحتفظون بالسيطرة الكاملة على الأجهزة المصابة لأغراض أخرى.

الأهداف الرئيسية للبرمجية: محافظ العملات الرقمية والبيانات المالية

تركز هذه البرمجية بشكل واضح على الأهداف المالية، حيث تستهدف بشكل خاص محافظ العملات الرقمية مثل بيتكوين وإيثيريوم. كما تقوم بسرقة عبارات الاستعادة (BIP39) التي تعتبر المفتاح الرئيسي لاستعادة المحافظ، مما يسمح للمهاجمين بالوصول الكامل إلى أموال الضحايا حتى في حالة إعادة تثبيت النظام أو تغيير كلمات المرور.

بالإضافة إلى ذلك، تقوم البرمجية بسرقة البيانات الحساسة الأخرى مثل المفاتيح الخاصة، والتي تعتبر ضرورية لإجراء المعاملات على blockchain. كما تقوم بإجراء عمليات استبدال لعناوين المحافظ في حافظة النظام، مما يؤدي إلى تحويل الأموال بشكل تلقائي إلى محافظ المهاجمين دون علم الضحية. هذه القدرة على الاستهداف الدقيق تجعل من هذه البرمجية أحد أخطر الأدوات المستخدمة في الهجمات المالية الرقمية حالياً.

تقنيات الإخفاء والتضليل المستخدمة من قبل البرمجية

تعتمد هذه البرمجية على مجموعة من التقنيات المتقدمة لإخفاء وجودها وتجنب الكشف من قبل برامج الحماية. حيث تقوم بإخفاء ملفاتها الخبيثة داخل مجلدات النظام، مثل مجلد Documents في نظام ويندوز، باستخدام تقنيات التعمية (obfuscation) لجعلها تبدو وكأنها ملفات شرعية. كما تقوم بإنشاء مهام مجدولة (scheduled tasks) لتنشيط مكوناتها بانتظام، مما يضمن استمرارية عملها حتى بعد إعادة تشغيل الجهاز.

التداول ليس قماراً. توقف عن المقامرة.

نتائج حقيقية من ذكاء MEFAI الاصطناعي.احصل على خصم 50 دولار على الخطة الاحترافية.

احصل على خصم 50 دولار على الخطة الاحترافية →

ممول · الأداء السابق لا يشير إلى النتائج المستقبلية. ليست نصيحة مالية.

إضافة إلى ذلك، تقوم البرمجية بإخفاء نسخة من شبكة تور داخل الجهاز تحت اسم مستعار (ugate.exe)، مما يصعب عملية اكتشافها من قبل برامج الحماية التقليدية. كما تستخدم شبكة تور للتواصل مع خوادم التحكم والسيطرة (C2) التابعة للمهاجمين عبر شبكة الإنترنت المظلمة، مما يجعل من الصعب جداً تتبع هوية المهاجمين أو إغلاق هذه الخوادم.

تأثير هذه البرمجية على المستخدمين والمؤسسات

على المستوى الفردي، يمكن أن تؤدي هذه البرمجية إلى خسائر مالية فورية، حيث يمكن للمهاجمين سرقة جميع الأموال الموجودة في محافظ العملات الرقمية الخاصة بالضحية. كما يمكن أن تؤدي السيطرة على الجهاز إلى تعريض بيانات شخصية أخرى للخطر، مثل كلمات المرور أو معلومات الحس Banking. أما على المستوى المؤسسي، فإن انتشار هذه البرمجية عبر محركات الأقراص USB يمكن أن يؤدي إلى اختراق أنظمة كاملة، مما يتسبب في خسائر مالية فادحة وضرراً كبيراً للسمعة.

بالإضافة إلى ذلك، فإن القدرة على تحويل الأجهزة المصابة إلى أبواب خلفية يمنح المهاجمين القدرة على شن هجمات متقدمة أخرى، مثل نشر برمجيات الفدية أو سرقة بيانات حساسة. هذا يجعل من هذه البرمجية تهديداً خطيراً ليس فقط للمستخدمين الأفراد، بل أيضاً للمؤسسات التي تعتمد على أنظمة ويندوز في عملياتها اليومية.

كيفية الحماية من هذه البرمجية والوقاية منها

للحد من خطر الإصابة بهذه البرمجية، يجب على المستخدمين اتخاذ مجموعة من الإجراءات الوقائية.首先، يجب تجنب توصيل محركات الأقراص USB غير المعروفة بالأجهزة، خاصة في البيئات التي لا تخضع لسياسات أمان صارمة. كما يجب تحديث أنظمة التشغيل وبرامج الحماية بانتظام لضمان الحماية من أحدث التهديدات. بالإضافة إلى ذلك، يجب على المستخدمين فحص أي ملفات مشبوهة قبل فتحها، خاصة تلك التي تأتي من مصادر غير معروفة.

على المستوى المؤسسي، يجب فرض سياسات صارمة لمنع استخدام محركات الأقراص USB غير المعتمدة، كما يجب تحديث أنظمة الحماية المركزية ومراقبة حركة المرور الشبكية للكشف عن أي أنشطة مشبوهة. كما يجب تدريب الموظفين على التعرف على البرمجيات الخبيثة الشائعة وطرق الوقاية منها، مما يقلل من خطر انتشار هذه البرمجية داخل المؤسسة.

ما يجب مراقبته في الفترة القادمة

من المتوقع أن تستمر هذه البرمجية في التطور، حيث من المحتمل أن يضيف المهاجمون ميزات جديدة لزيادة فعاليتها وقدرتها على الانتشار. كما من المحتمل أن نشهد ظهور نسخ أخرى من هذه البرمجية تستهدف منصات أو محافظ رقمية مختلفة، مما يزيد من خطر الإصابة بها. لذلك، يجب على المستخدمين والمؤسسات البقاء على اطلاع دائم بأحدث التهديدات الأمنية واتخاذ الإجراءات اللازمة للحماية منها.

كما يجب على شركات الأمن السيبراني تطوير أدوات جديدة للكشف عن هذه البرمجية ومنع انتشارها، خاصة وأنها تعتمد على تقنيات متقدمة لإخفاء وجودها. من المتوقع أن نشهد زيادة في استخدام تقنيات الذكاء الاصطناعي في الكشف عن البرمجيات الخبيثة، مما سيساعد في الحد من خطر هذه التهديدات في المستقبل.

الخلاصة: تهديد متزايد يتطلب اليقظة المستمرة

تعد برمجية Crypto Clipper واحدة من أخطر التهديدات الأمنية التي تواجه مستخدمي العملات الرقمية حالياً، حيث تجمع بين قدرات سرقة البيانات المالية وفتح أبواب خلفية للأجهزة المصابة. إن способ انتشارها عبر محركات الأقراص USB يجعلها تهديداً خطيراً بشكل خاص، حيث يمكن أن تنتشر بسرعة في البيئات التي لا تخضع لسياسات أمان صارمة.

لذلك، يجب على المستخدمين والمؤسسات اتخاذ الإجراءات اللازمة للحماية من هذه البرمجية، بما في ذلك تحديث أنظمة الحماية، وفرض سياسات صارمة لمنع استخدام محركات الأقراص USB غير المعتمدة، وتدريب الموظفين على التعرف على البرمجيات الخبيثة. كما يجب البقاء على اطلاع دائم بأحدث التهديدات الأمنية واتخاذ الإجراءات اللازمة للحد من خطر الإصابة بها. إن اليقظة المستمرة والتدابير الوقائية هي المفتاح لحماية الأجهزة والبيانات من هذه التهديدات المتزايدة.