رصد باحثون في الأمن السيبراني حملة نشطة تستخدم وحدات USB المصابة لنشر برمجيات تعدين العملات الرقمية على أجهزة جديدة منذ سبتمبر 2024. وفي حين اعتمدت النسخ السابقة من الحملة على عائلات برمجيات خبيثة مثل DIRTYBULK وCUTFAIL، فإن النسخة الأحدث التي كشفت عنها شركة AhnLab تستخدم أسلوبًا أكثر تطورًا يعتمد على ملف Batch يقوم بتشغيل مكتبة DLL تعمل كـ Dropper، لتفعيل برمجية PrintMiner التي تتولى بدورها تنزيل حمولات إضافية، من بينها برنامج التعدين الشهير XMRig.
وتوضح AhnLab أن البرمجية الخبيثة تُخفى داخل مجلد غير ظاهر، بينما يظهر للمستخدم اختصار واحد فقط باسم USB Drive. وعند فتح هذا الاختصار، يرى المستخدم ملفات تبدو طبيعية تعود لمستخدم سابق، إلى جانب البرمجية الخبيثة، ما يجعل اكتشاف الإصابة أمرًا بالغ الصعوبة.
برمجيات تعدين تستهدف لينكس عبر بوت نت مشتق من Mirai
بالتوازي مع ذلك، كشفت شركة Cyble عن حملة نشطة تستهدف أنظمة لينكس عبر بوت نت مشتق من Mirai يحمل الاسم V3G4، ويعمل جنبًا إلى جنب مع مُعدّن عملات رقمية خفي مُعدّ بطريقة Fileless لتجنب الكشف.
وبحسب Cyble، يتنكر البوت بعد تفعيله كعملية systemd‑logind، ثم يبدأ بجمع معلومات البيئة التشغيلية، وإجراء عمليات مسح واسعة عبر بروتوكول SSH باستخدام Raw Sockets، إضافة إلى الحفاظ على اتصال دائم بخادم التحكم والسيطرة (C2). وفي المرحلة الأخيرة، يطلق البوت مُعدّن XMRig مخفيًا لتعدين عملة Monero، ويتم ضبط إعداداته ديناميكيًا أثناء التشغيل لضمان أعلى مستوى من التخفي والاستمرارية.
تكتيكات متقدمة تجعل الكشف أكثر صعوبة
تعكس هذه التطورات اتجاهًا متزايدًا لدى مجموعات التهديد نحو استخدام وسائط التخزين المحمولة كوسيلة فعالة للانتشار، مستغلين ثقة المستخدمين في وحدات USB. كما أن الجمع بين تقنيات الإخفاء، والتنفيذ عبر DLL، والتعدين الخفي، والتنكر كعمليات نظام شرعية، يجعل هذه الحملات أكثر قدرة على تجاوز أنظمة الحماية التقليدية.
