مايكروسوفت تحذر من برمجية خبيثة جديدة تُعرف بـ «مقصّرة العملات الرقمية» تنتشر عبر وحدات USB المصابة

فريق استخبارات التهديدات في مايكروسوفت وضع تفصيلًا لنسخة متطورة جديدة من برامج "الكلابر" الخبيثة المبنية على ويندوز والتي كانت تستهدف بصمت مستخدمي العملات الرقمية منذ فبراير 2026.

على عكس التهديدات السيبرانية الحديثة النموذجية، لا تعتمد هذه البرامج الخبيثة على رسائل التصيد الاحتيالي، أو الإضافات الضارة للمتصفح، أو تطبيقات المحافظ المزيفة. بدلاً من ذلك، تنتشر بطريقة تقليدية: عبر أقراص USB ملوثة.

ما هو برنامج الكليبَر الخبيث؟

"الكلابر" هو نوع محدد جدًا من البرمجيات الخبيثة المصممة لاستغلال عادة رقمية شائعة: النسخ واللصق.

تراقب البرمجية باستمرار حافظة النسخ على الحاسوب — الذاكرة الرقمية المؤقتة المستخدمة عند نسخ النص. عندما تكتشف بيانات مالية حساسة، وغالبًا عنوان محفظة عملة رقمية، تقوم بشكل صامت باستبداله بعنوان يتحكم فيه المهاجم.

سلسلة عدوى USB

وفقًا لتقرير مايكروسوفت، تبدأ الهجمة عندما يقوم المستخدم بتوصيل قرص USB مخترق وفتح مستند يبدو عاديًا. في الواقع، هو ملف اختصار مخفي.

بمجرد فتحه، يقوم الفيروس بتثبيت نفسه بصمت ويحاول فورًا الانتقال إلى أي أقراص قابلة للإزالة أخرى متصلة بالجهاز، مما يسمح له بالانتشار بين الزملاء والأصدقاء والأنظمة بشكل جانبي.

بمجرد أن يكون نشطًا في الخلفية، تصبح المخاطر عالية جدًا:

• اختطاف الأموال: إذا قام المستخدم بنسخ عنوان محفظة عملة رقمية لإجراء معاملة، يبدله البرنامج الخبيث بعنوان يتحكم فيه المهاجم. حتى أنه يطابق الحرف الأول والأخير من العنوان الأصلي لخداع المستخدم.
• الاستيلاء الكامل على المحفظة: إذا قام المستخدم بنسخ بيانات استرداد حساسة، مثل عبارات البذور أو المفاتيح الخاصة، يلتقطها البرنامج الخبيث مباشرة، مانحًا المجرمين السيطرة الكاملة على الأموال.

التعتيم عبر شبكة تور

ما يجعل هذا السلالة غير معتادة وخطيرة هو كيفية إخفاء أثرها.

بدلاً من الاتصال مباشرة بخوادم الإنترنت التقليدية، يستخدم البرنامج الخبيث نسخة مخفية من شبكة تور المدمجة. من خلال توجيه جميع بياناته المسروقة عبر وكيل محلي إلى موقع .onion سري، يتجنب بسهولة أدوات أمان الشبكة التقليدية التي تراقب حركة الإنترنت العادية.

علاوة على ذلك، يمنح البرنامج الخبيث المهاجمين القدرة على تنفيذ أوامر عن بعد. هذا يعني أن المجرمين لا يسرقون العملات الرقمية فقط؛ بل يحصلون على باب خلفي دائم لتشغيل أي رمز يريدونه على الحاسوب المصاب.

كيف تحمي أموالك

نظرًا لأن هذا البرنامج الخبيث يولد عناوين زائفة تحاكي الحرف الأول والأخير من وجهتك المقصودة، فإن التحقق العادي "بالعين المجردة" لن يكون كافيًا.

لحماية أصولك، يوصي خبراء الأمن ببعض التعديلات الفورية:

• تحقق من كل حرف: عند نقل العملات الرقمية، تحقق من كامل سلسلة عنوان المحفظة قبل الضغط على إرسال، وليس فقط الأطراف الخارجية.
• استخدم محافظ الأجهزة: حيثما أمكن، استخدم محافظ الأجهزة. تتطلب هذه الأجهزة منك تأكيدًا مرئيًا وفعليًا لعنوان الوجهة الكامل غير المعدل على شاشة معزولة قبل أن تغادر الأموال يدك.
• تجنب USB غير معروف: تعامل مع الأقراص المحمولة بنفس درجة الشك التي تتعامل بها مع رابط بريد إلكتروني مشبوه. لا توصل قرصًا غير موثوق به إلى حاسوب مهم.

لماذا يهم هذا الأمر

على عكس عمليات الاختراق واسعة النطاق للمبادلات، يستهدف برنامج الكليبَر الخبيث مباشرة المستثمرين الأفراد من خلال اختطاف فعل النسخ واللصق البسيط. وبما أنه يحاكي تمامًا مظهر عناوين المحافظ الحقيقية، فإن التحقق العشوائي البسيط لم يعد كافيًا لحماية أموالك.

ابق على اطلاع مع تقارير DailyCoin الشائعة حول العملات الرقمية:
توكنات الذكاء الاصطناعي تتراجع مع فتح الباب لصناديق الاستثمار
كنتاكي تقاضي بوليمارك وكالشي، متحدية سياسة العملات الرقمية في عهد ترامب

الناس يسألون أيضًا:

ما هو برنامج الكليبَر الخبيث؟ هو نوع من البرمجيات الخبيثة التي تراقب حافظة النسخ على الجهاز (حيث يُخزن النص المنسوخ مؤقتًا). عندما تكتشف بيانات معينة، مثل عنوان محفظة عملة رقمية، تستبدله سرًا بعنوان يتحكم فيه المهاجم.

كيف ينتشر برنامج الاختطاف عبر الحافظة؟ بينما تنتشر العديد من التهديدات السيبرانية عبر الإنترنت من خلال رسائل التصيد الاحتيالي أو التنزيلات الخبيثة، يمكن أيضًا أن ينتشر الكليبَر ماديًا عبر أقراص USB المصابة أو بشكل جانبي عبر الشبكات المحلية المشتركة.

لماذا لا يكفي التحقق العادي لاكتشاف استبدال عنوان المحفظة؟ يمكن لبرنامج الكليبَر المتقدم أن يولد عناوين زائفة تتطابق تمامًا مع الحرف الأول والأخير من العنوان الأصلي. نظرًا لأن العديد من المستخدمين يتحققون فقط من الأطراف الخارجية لسلسلة العنوان الطويلة، فإن عملية الاستبدال تمر دون أن يلاحظها أحد.