كشفت شركة «مايكروسوفت» (Microsoft) الأميركية النقاب أخيراً عن برمجية خبيثة جديدة تحمل اسم «كريبتوورم» (CryptoWorm)، ووصفتها بأنها تهديد سيبراني متقدم يجمع بين خاصية الانتشار الذاتي عبر الشبكات المحلية والقدرة على سرقة أصول العملات الرقمية من خلال تقنية متطورة لاختطاف الحافظة.

وأفاد تقرير فني صادر عن فريق الاستخبارات الأمنية في «مايكروسوفت» بأن الحملة، التي رُصدت للمرة الأولى في 12 يونيو 2026، استهدفت مستخدمي نظام التشغيل «ويندوز» من الإصدار 10 فما فوق، وتمكنت من إصابة أكثر من 28 ألف جهاز في 94 دولة خلال الأيام الستة الأولى من رصدها.

وأوضح التقرير، الذي جاء في 18 صفحة وتضمن تحليلاً تقنياً معمقاً، أن «كريبتوورم» تعتمد على 3 آليات متكاملة للهجوم، هي: الانتشار التلقائي، سرقة المفاتيح الخاصة، واختطاف معاملات التحويل.

وتتميز هذه البرمجية عن سابقاتها بقدرتها على إعادة توجيه طلبات الدفع بالعملات المشفرة في الزمن الفعلي، حيث تستبدل عناوين المحافظ المستقبلة بعناوين يتحكم بها المهاجمون في اللحظة التي يؤكد فيها المستخدم عملية التحويل، من دون أن يظهر أي تغيير على الشاشة.

وفي التفاصيل التقنية، وجد الباحثون أن «كريبتوورم» تستغل ثغرة أمنية مصنفة بالحرجة تحمل الرمز «CVE-2026-4412» في بروتوكول «SMB»، وهو البروتوكول المسؤول عن مشاركة الملفات والطابعات بين الأجهزة في الشبكات المحلية.

وتسمح هذه الثغرة، التي حصلت على درجة 9.8 من 10 في نظام التسجيل المشترك لنقاط الضعف (CVSS)، للمهاجم بتنفيذ أوامر برمجية عن بُعد من دون حاجة إلى تفاعل من المستخدم أو كلمة مرور، ما يعني أن جهازاً واحداً مصاباً يمكنه إصابة جميع الأجهزة المتصلة بالشبكة المحلية نفسها خلال دقائق.

وتضمن التقرير الفني عرضاً تحليلياً لسلسلة الهجوم الكاملة على النحو الآتي:

المرحلة الأولى ـ الدخول الأولي: تستغل البرمجية ثغرة «CVE-2026-4412» في بروتوكول «SMBv3» لتنفيذ أمر «PowerShell» خبيث يحمّل الحمولة الرئيسة من خادم قيادة وتحكم خارجي.

المرحلة الثانية ـ الانتشار: بعد تثبيت نفسها على الجهاز المخترق الأول، تقوم «كريبتوورم» بمسح الشبكة المحلية بحثاً عن أجهزة أخرى تحمل الثغرة ذاتها وتنسخ نفسها إليها تلقائياً، محققة انتشاراً أفقياً كاملاً من دون تدخل بشري.

المرحلة الثالثة ـ سرقة المفاتيح: تفحص البرمجية ذاكرة النظام بحثاً عن المفاتيح الخاصة لمحافظ العملات المشفرة المخزنة في تطبيقات شائعة مثل «ميتاماسك» و«ترست والت» و«إلكتروم»، إضافة إلى ملحقات المتصفحات، وتقوم بتشفيرها وإرسالها إلى خادم القيادة والتحكم.

المرحلة الرابعة ـ اختطاف الحافظة: تنصب البرمجية خطافاً (Hook) على مستوى نواة نظام التشغيل يراقب محتوى الحافظة بصورة دائمة، وعند اكتشاف عنوان محفظة مشفرة (يتطابق مع تعبير نمطي لأشكال عناوين «بيتكوين» و«إيثريوم» و«سولانا»)، تستبدله بعنوان المهاجم في زمن استجابة يقل عن 50 ميلي ثانية، ما يحول دون ملاحظة المستخدم.

المرحلة الخامسة ـ التخفي والاستدامة: تحقن البرمجية شيفرتها داخل عمليات نظام «ويندوز» الشرعية مثل «explorer.exe» و«svchost.exe»، وتقوم بتعطيل خدمات «ويندوز ديفندر» (Windows Defender) مؤقتاً، وتُنشئ مهمة مجدولة (Scheduled Task) تعيد تنشيطها عند كل إقلاع للنظام.

وعن طبيعة الاستهداف، أوضح التقرير أن برمجية «كريبتوورم» تركز على 5 محافظ رئيسة، وهي: «بيتكوين» (Bitcoin)، و«إيثريوم» (Ethereum)، و«سولانا» (Solana)، و«بوليغون» (Polygon)، و«أفالانش».....

لقراءة المقال بالكامل، يرجى الضغط على زر "إقرأ على الموقع الرسمي" أدناه

هذا المحتوى مقدم من صحيفة الراي