تحذّر مايكروسوفت من برمجيات خبيثة تُصيب USB وتسرق عبارات البذور الخاصة بالتشفير وتستبدل عناوين المحافظ

حذرت Microsoft Defender في 17 يونيو من برمجية خبيثة جديدة تعتمد على USB تستهدف مستخدمي العملات المشفرة عبر سرقة عبارات البذور (seed phrases) واستبدال عناوين المحافظ. تنتشر البرمجية الخبيثة عبر محركات USB باستخدام ملفات الاختصار (shortcut) وتستخدم اتصالات مدعومة بـ Tor لتجنب الكشف. وصرحت Microsoft بأن التهديد يسرق عبارات بذور BIP39 مكوّنة من 12 أو 24 كلمة، ويقوم بفحص عناوين bitcoin وtron وmonero كل 500 مللي ثانية لإعادة توجيه المعاملات إلى محافظ يسيطر عليها المهاجمون.

Malware Replaces Crypto Addresses and Steals Seed Phrases via USB Shortcuts

حذرت مجموعة Microsoft Defender في منشور مدونة بتاريخ 17 يونيو من أن البرمجية الخبيثة تستبدل الملفات على أجهزة التخزين القابلة للإزالة بأوامر اختصار (.lnk) تؤدي إلى الإصابة عند تنفيذها. وتتخذ البرمجية الخبيثة إجراءات مضادة للفحص والحذف بواسطة برامج مكافحة الفيروسات، وتستخدم اتصالات مجهولة المصدر مدعومة بـ Tor لتجنب الكشف.

تنتشر البرمجية الخبيثة عبر نسخ نفسها إلى أي محركات USB يتم إدخالها في جهاز كمبيوتر مصاب. ثم تعمل عملية يمكنها تنفيذ مهام متنوعة، بما في ذلك تغيير العناوين التي يقوم المستخدمون بنسخها في الحافظة (clipboard) للجهاز المصاب.

تعمل البرمجية الخبيثة بشكل مستمر على الأجهزة المتأثرة، وتفحص الذاكرة بحثًا عن ما تسميه Microsoft "الأدوات المالية عالية القيمة". وتكتشف عبارات بذور BIP39 المكوّنة من 12 أو 24 كلمة داخل بيانات الحافظة، ثم ترسلها إلى المهاجمين، إلى جانب خمس لقطات شاشة لتقديم سياق حول محتويات المحافظ والأموال.

يُجري "crypto clipper" فحصًا للعناوين الخاصة بـ bitcoin وtron وmonero في الذاكرة كل 500 مللي ثانية. وإذا عثر على أي منها، فإنه يفترض أن المستخدم يقوم بنسخ العنوان لتنفيذ معاملة، ثم يقوم بتغييره إلى عنوان مماثل تحت سيطرة المهاجم للاستيلاء على الأموال المرسلة من المستخدمين عبر الجهاز المصاب.

"تُظهر عائلة البرمجيات الخبيثة هذه كيف يمكن للسرّاق الخفيف القائم على البرامج النصية (script-based) أن يحقق تأثيرًا أكبر بكثير عند اقترانه باتصالات مجهولة المصدر وتكليف المهام أثناء التشغيل (runtime tasking)"، قالت مجموعة Microsoft Defender.

Microsoft Recommends Disabling Autorun and Blocking Shortcuts from Removable Drives

للتخفيف من الإصابات، توصي مجموعة Microsoft Defender بإيقاف تشغيل autorun لمحتوى جميع وسائط التخزين القابلة للإزالة، وحظر تنفيذ ملفات الاختصار من محركات الأقراص القابلة للإزالة، والتي تم تحديدها بوصفها عوامل الانتشار الرئيسية للبرمجية الخبيثة.

FAQ

What did Microsoft Defender warn about on June 17? حذرت Microsoft Defender من برمجية خبيثة جديدة تعتمد على USB تسرق عبارات بذور BIP39 المكوّنة من 12 أو 24 كلمة، وتستبدل عناوين محافظ العملات المشفرة لبيتوكوين وtron وmonero لإعادة توجيه المعاملات إلى محافظ يسيطر عليها المهاجمون.

How does the malware propagate to other devices? تستبدل البرمجية الخبيثة الملفات على أجهزة التخزين القابلة للإزالة بملفات اختصار (.lnk) تؤدي إلى الإصابة عند تنفيذها، كما تنسخ نفسها إلى أي محركات USB يتم إدخالها في جهاز كمبيوتر مصاب.

What mitigation steps did Microsoft recommend? يوصي Microsoft بإيقاف تشغيل autorun لمحتوى جميع وسائط التخزين القابلة للإزالة، وحظر تنفيذ ملفات الاختصار من محركات الأقراص القابلة للإزالة، والتي تُعد عوامل الانتشار الرئيسية للبرمجية الخبيثة.