مايكروسوفت تكشف عن تهديد جديد لبرامج الخبيثة لنُسخ الحافظة المشفرة: يمكنها الانتشار بشكل مخفي واحتجاز عناوين محافظ الأصول الرقمية

موجة عميقة من أخبار TechFlow، في 19 يونيو، أعلنت فريق استخبارات التهديدات في شركة مايكروسوفت عن تهديد جديد لبرنامج حصان طروادة المشفر على لوحة القصاصات في ويندوز، والذي كان نشطًا منذ فبراير 2026، ويجمع بين "انتشار دودي + اختطاف لوحة القصاصات + اتصالات مجهولة عبر تور"، ويستهدف مستخدمي الأصول الرقمية.

وأشارت تحليلات مايكروسوفت إلى أن هذا البرنامج الخبيث ينتشر عبر ملفات اختصار مزيفة (.lnk) على أجهزة التخزين القابلة للإزالة، ويستخدم WScript و ActiveX لتنفيذ منطق السكربت، وينشر تلقائيًا عميل تور المحلي لتحقيق تحكم مجهول وإرسال البيانات. تتضمن سلسلة الهجوم قدرات خبيثة متعددة: مراقبة مستمرة لمحتوى لوحة القصاصات، سرقة كلمات المرور و المفاتيح الخاصة، التقاط لقطات الشاشة وتحميلها، وعند نسخ عنوان عملة مشفرة، يتم "استبدال العنوان" وتحويله إلى عنوان محفظة يتحكم فيه المهاجم، مما يحقق الاستيلاء على الأموال.

بالإضافة إلى ذلك، يمتلك هذا الحصان طروادة قدرة على الانتشار الدودي، حيث ينسخ نفسه تلقائيًا على أجهزة مثل فلاش USB، ويخلق مهام مجدولة لضمان استمرارية التشغيل، كما يمتلك قدرات أساسية لمقاومة التحليل (مثل اكتشاف مدير المهام لتجنب التصحيح).

على مستوى الكشف، قامت مايكروسوفت بتصنيفه ضمن سلسلة Trojan:Win32/CryptoBandits، وبتنفيذ اكتشافات استنادًا إلى السمات السلوكية (مثل استدعاءات غير طبيعية لـ WScript، حركة مرور عبر وكيل localhost:9050، وسلوك التقاط لقطات الشاشة عبر PowerShell). ينصح خبراء الأمان بالتركيز على حماية مسارات تنفيذ السكربت ومراقبة حركة المرور غير الطبيعية عبر الوكيل المحلي.