كشفت شركة ميكروسوفت عن تفاصيل حملة اختراق متطورة تستهدف مستخدمي نظام Windows منذ فبراير 2026، تعتمد على برنامج خبيث من نوع Clipper يعترض محتوى الحافظة ويمتلك قدرة على الانتشار الذاتي، مستتراً في اتصالاته خلف شبكة Tor للتهرب من الرصد والتتبع. وقد أصدر فريق أبحاث Microsoft Defender الأمني تحليلاً مفصلاً للحملة يكشف آليات عمل هذا البرنامج الخبيث وأساليبه في استنزاف أصول العملات الرقمية لضحاياه بصمت تام.
برامج Clipper الخبيثة ليست وليدة اليوم، لكنها شهدت تطوراً ملحوظاً في السنوات الأخيرة مع الانتشار الواسع للعملات المشفرة. تعمل هذه البرامج بطريقة خادعة في بساطتها: تراقب ما ينسخه المستخدم إلى الحافظة المؤقتة، وحين تكتشف أن المنسوخ هو عنوان محفظة رقمية، تستبدله خلسةً بعنوان آخر تسيطر عليه المجموعة المهاجمة. المستخدم يعتقد أنه يُرسل أموالاً إلى الجهة الصحيحة، لكنه في الحقيقة يُحوّلها مباشرةً إلى المهاجمين.
ذاكرة USB كسلاح انتشار: تشريح آلية الإصابة
تبدأ سلسلة الإصابة بملف اختصار Windows من نوع LNK يُوزَّع عبر وحدات تخزين USB. حين يفتح المستخدم هذا الملف، يُشغّل مكوّن الدودة الذي يفحص أولاً ما إذا كان الجهاز مُصاباً من قبل، ولا ينتقل إلى جلب الحمولة الخبيثة من خادم بعيد إلا إذا تأكد من غياب الإصابة.
الأسلوب الذي يعتمده الملف في خداع الضحايا بالغ الدهاء. يقوم مكوّن LNK بفحص وحدة USB بحثاً عن ملفات الوثائق الشائعة من امتدادات DOC وXLSX وPDF، فإذا عثر عليها أخفاها وأنشأ بدلاً منها ملفات اختصار تحمل الأسماء ذاتها. حين ينقر المستخدم المطمئن على ما يبدو له ملف PDF أو مستند Word، فإنه في الحقيقة يُشغّل مكوّن الدودة الخبيثة.
لا يكتفي المكوّن بضمان انتشار الإصابة إلى محركات USB أخرى غير مُصابة، بل يُنشئ أيضاً مهام مجدولة تضمن استمرارية كلٍّ من الدودة ومكوّن السرقة عبر إعادة التشغيل التلقائي في كل مرة يُقلع فيها الجهاز أو تنتهي مهمة ما.
شبكة Tor وتقنيات تفادي الرصد: بنية تحتية تخفي نفسها بنفسها
ما يجعل هذه الحملة مثيرة للاهتمام من الناحية التقنية هو تخليها الكامل عن البنية التحتية التقليدية لبرامج الفدية والاختراق. بدلاً من الاعتماد على عناوين IP مكشوفة يمكن رصدها وحجبها، تُشغّل البرمجية الخبيثة عميل Tor محمولاً في نافذة مخفية، وتُوجّه اتصالاتها عبر وكيل SOCKS5 محلي نحو خادم تحكم مُستضاف على شبكة Tor المجهولة. هذه البنية تجعل تتبع البنية التحتية للمهاجمين أمراً بالغ الصعوبة حتى بعد اكتشاف الإصابة.
يستخدم البرنامج WScript وActiveXObject للتفاعل مع نظام التشغيل، ويتضمن آلية تهرب بسيطة لكن فعّالة: يتحقق من قائمة العمليات النشطة، فإذا وجد أن إدارة المهام Task Manager مفتوحة توقف عن العمل فوراً تفادياً للرصد.
في المرحلة النهائية، يُولّد البرنامج معرّفاً فريداً للضحية ويُسجّله لدى الخادم الخارجي، ثم يدخل في حلقة لا تتوقف: يستطلع خادم التحكم بحثاً عن تعليمات جديدة، ويراقب في الوقت ذاته محتوى الحافظة كل 500 ميلي ثانية تقريباً للإمساك بعبارات الاسترداد ومفاتيح المحافظ الخاصة. يُضاف إلى ذلك التقاط صور لشاشة الضحية ورفعها عبر Tor. والأخطر من ذلك أنه إذا أعاد خادم التحكم استجابةً تحمل أمر EVAL، فإن البرنامج ينفّذ الكود البرمجي الذي يصله في وقت التشغيل مباشرةً، مما يحوّله من أداة سرقة مالية إلى باب خلفي متكامل.
هذا التصميم يمزج بين عدة تهديدات في آنٍ واحد: سرقة بيانات الدفع، والتجسس عبر لقطات الشاشة، وإمكانية تنفيذ أكواد برمجية عشوائية عن بُعد. ويُشير فريق ميكروسوفت الأمني إلى أن هذا التصميم يجعله أقرب إلى الباب الخلفي خفيف الوزن منه إلى مجرد أداة سرقة مالية.
توصيات ميكروسوفت للحماية: الكشف السلوكي قبل البصمات الثابتة
نصحت ميكروسوفت المدافعين بتقديم الكشف السلوكي على الكشف بالبصمات الثابتة، مع التركيز تحديداً على رصد عمليات التقاط الشاشة المستندة إلى PowerShell، واستخدام WScript أو CScript أو محركات السكريبت المشابهة لإطلاق عمليات curl أو cmd.exe أو PowerShell أو ملفات تنفيذية غير متوقعة.
على صعيد الإجراءات التقنية، أوصت الشركة بتعطيل ميزة AutoRun/AutoPlay لجميع وسائط التخزين القابلة للإزالة، وحظر تنفيذ ملفات LNK من محركات USB عبر سياسات المجموعة GPOs، وتقييد الاستخدام غير الضروري لـ wscript.exe وcscript.exe، ومراجعة الأنشطة المرتبطة بالحافظة والتقاط الشاشة على الأجهزة التي تتعامل مع سير عمل مالية حساسة.
تُذكّر هذه الحملة بأن ناقلات الهجوم القديمة كوحدات USB التي اعتقد كثيرون أنها تراجعت مع سيادة الاتصال بالإنترنت تواصل حضورها بأساليب محدّثة، وأن دمج التقنيات المعروفة كـ Tor والسكريبتات المضمّنة في Windows مع هدف مالي محدد مثل العملات المشفرة يُنتج تهديدات يصعب اكتشافها ويسهل تشغيلها على نطاق واسع.





























