مقدمة عن البرمجيات الخبيثة لسرقة العملات الرقمية

 

كشفت مايكروسوفت مؤخرًا عن نوع متطور من البرمجيات الخبيثة لسرقة العملات الرقمية، والذي يشكل تهديدًا كبيرًا لحاملي الأصول الرقمية. تنتشر هذه البرمجيات الخبيثة بشكل رئيسي عبر محركات USB المصابة، وتستفيد من تقنيات تقليدية ومتقدمة لاستخراج المعلومات الحساسة من الأنظمة المخترقة. التهديد، الذي تتبعه مايكروسوفت تحت اسم STONEDRIVE، يجمع بين النهج القديم لنشر USB مع تقنيات التهرب الحديثة، مستهدفًا بشكل فعال البيئات التي تُخزن فيها الأصول الرقمية.

 

كيف ينتشر STONEDRIVE

 

التقرير الذي نشرته Slashdot يسلط الضوء على طرق الانتشار التي يستخدمها STONEDRIVE. يشبه نموذج انتشار الدودة عبر USB الكلاسيكي الذي اشتهرت به تهديدات مثل Conficker قبل أكثر من عقد، حيث يستخدم STONEDRIVE محركات USB المصابة كوسيلة رئيسية. تتيح هذه الطريقة للبرمجيات الخبيثة الانتشار عن طريق نسخ نفسها على أي وسائط قابلة للإزالة يتم إدخالها في جهاز مصاب. وبالتالي، عندما يتم توصيل محرك USB بجهاز كمبيوتر آخر، يتم تشغيل ملف autorun.inf والملفات التنفيذية المرتبطة تلقائيًا إذا كانت ميزات التشغيل التلقائي مفعلة أو إذا تفاعل المستخدمون مع المجلدات المتنكرة.

 

سلوك البرمجيات الخبيثة وقدرات الاستهداف

 

عند التسلل بنجاح، يظهر STONEDRIVE خصائص شائعة لدى العديد من سارقي المعلومات. يقوم بفحص الأنظمة المخترقة بحثًا عن ملفات محافظ العملات الرقمية، وبيانات ملحقات المتصفح، والبيانات المخزنة. تستهدف البرمجيات الخبيثة بشكل خاص تطبيقات المحافظ الشهيرة مثل Electrum وExodus وMetaMask. بالإضافة إلى ذلك، تلتقط ملفات تعريف الارتباط للمتصفح، وكلمات المرور المحفوظة، وبيانات الملء التلقائي التي قد تحتوي على عبارات البذور أو المفاتيح الخاصة. يتم بعد ذلك استخراج المعلومات المجمعة عبر خدمات Tor المخفية، مما يشكل تحديات كبيرة في جهود التتبع والإزالة.

 

تقنيات التهرب والتشويش

 

لتجنب الكشف وإطالة عمرها التشغيلي، يستخدم STONEDRIVE طبقات متعددة من التشويش. يستخدم المسقط الأولي للبرمجيات الخبيثة نهجًا مرحليًا مع حمولات مشفرة، حيث يتم فك تشفير كل منها فقط بعد إجراء فحوصات شاملة لبيئات التحليل. تضمن الروتينات المضادة للتحليل بقاء البرمجيات الخبيثة خاملة أو تقوم بإزالة نفسها عند اكتشاف الآلات الافتراضية أو أدوات الصندوق الرملي. يفسر هذا التركيز على التهرب استمرار الحملة لفترة طويلة قبل أن تخضع لتدقيق فرق الأمان.

 

انتشار USB في البيئات المعزولة

 

اختيار الانتشار عبر USB هو استراتيجية متعمدة من قبل المهاجمين لاستهداف الأنظمة أو الشبكات المعزولة التي لديها ضوابط صارمة على الإنترنت. توجد مثل هذه البيئات غالبًا في الإعدادات المؤسسية، ومرافق البحث، وبعض شركات تداول العملات الرقمية حيث تُستخدم الآلات المعزولة لتوقيع المعاملات. من خلال إصابة محركات USB، تقوم البرمجيات الخبيثة بربط الفجوة بين الشبكات المعزولة والأنظمة المتصلة بالإنترنت، حيث يتم إرسال البيانات المستخرجة بعد ذلك عبر Tor.

 

مزايا استخدام شبكة Tor

 

يوفر استخدام شبكة Tor العديد من الفوائد للمشغلين وراء هذه الحملة. يعمل توجيه البصل في Tor على إخفاء الموقع الحقيقي لخوادم القيادة والتحكم بشكل فعال مع تشفير حركة المرور بطريقة تتحدى أدوات التفتيش الأمني القياسية. لاحظت مايكروسوفت أن STONEDRIVE يستخدم عناوين Tor مشفرة، متجاوزًا عمليات حل DNS التي قد تؤدي إلى إطلاق تنبيهات. تتواصل البرمجيات الخبيثة فقط في فترات محددة مسبقًا، مما يقلل من بصمتها الشبكية ويجعل اكتشاف السلوك صعبًا.

 

البيانات المستخرجة وجمع المعلومات المحتمل

 

كشف تحليل البيانات المستخرجة عن استخدام حمولات JSON منظمة تتضمن عناوين المحافظ، والمفاتيح الخاصة، ولقطات الشاشة الملتقطة من الأنظمة المخترقة. بشكل مثير للاهتمام، تمتلك البرمجيات الخبيثة قدرات لتفعيل كاميرا الويب والميكروفون للضحية في ظل ظروف معينة، مما يشير إلى اهتمام محتمل بجمع المعلومات يتجاوز الدوافع المالية البحتة. تتضمن بعض العينات أيضًا وحدات لتسجيل المفاتيح ومراقبة الحافظة، مع التركيز على سلاسل عناوين العملات الرقمية لتنفيذ تقنيات اختطاف الحافظة.

 

تدابير التخفيف والوقاية

 

نسقت مايكروسوفت مع وكالات إنفاذ القانون ونشرت مؤشرات الاختراق عبر مركز استخبارات التهديدات الخاص بها. يُنصح المؤسسات بتعطيل ميزات التشغيل التلقائي عبر أنظمة Windows وتنفيذ سياسات تمنع محركات USB من تنفيذ الملفات تلقائيًا. يعد تدريب الموظفين بانتظام حول المخاطر المرتبطة بالأجهزة USB غير المعروفة أمرًا حيويًا، خاصة في القطاعات التي تتعامل مع الأصول الرقمية القيمة.

 

المخاطر المحتملة على سلسلة التوريد وتأثير القطاع

 

التهديد الذي يشكله STONEDRIVE يتجاوز الإصابات الفردية، مما يثير القلق بشأن مخاطر سلسلة التوريد داخل قطاع العملات الرقمية. المطورون الذين يتلقون أجهزة USB مصابة من المؤتمرات أو الشركاء يخاطرون بنشر البرمجيات الخبيثة عن غير قصد إلى بيئات البناء. إذا تم اختراق مفاتيح التوقيع أو عبارات البذور، فقد تكون العواقب المالية شديدة. أفادت العديد من مشاريع البلوكشين أنها أعادت تقييم سياسات استخدام USB الداخلية الخاصة بها بعد إفصاح مايكروسوفت.

 

المراقبة المستقبلية والاستعداد

 

بينما يواصل الباحثون مراقبة المتغيرات الجديدة، يجب على المؤسسات أن تظل يقظة. يتيح التصميم المعياري لـ STONEDRIVE تحديثات سهلة، مما يسمح للمشغلين بتحسين مجموعة أدواتهم دون إعادة اختراع كبيرة في الخلفية. قد تتضمن الإصدارات المستقبلية قدرات الفدية أو الاندماج في شبكات الروبوتات الأكبر لتضخيم التوزيع. يجب على المؤسسات النظر في تنفيذ سياسات صارمة للتحكم في USB، وقوائم بيضاء للتطبيقات، وتقسيم الشبكة لتخفيف الأضرار المحتملة.

 

الخاتمة: دعوة للاستيقاظ للاقتصاد الرقمي

 

تسلط نتائج مايكروسوفت الضوء على التحديات المستمرة في موازنة الراحة مع الأمان في إدارة العملات الرقمية. على الرغم من تطور أسطح الهجوم، تظل النواقل القديمة مثل USB طرقًا فعالة للمهاجمين. يجمع التهديد بين انتشار USB وبروتوكولات الشبكة المجهولة مثل Tor لتقديم ملف تهديد قوي. يجب على فرق الأمان تحديث قواعد الكشف وتثقيف المستخدمين حول المخاطر المستمرة لـ USB، بينما يجب على مستخدمي العملات الرقمية تبني تدابير أمان محسنة لحماية أصولهم الرقمية.

 

تعمل حملة STONEDRIVE كتذكير صارخ بأن المهاجمين بارعون في دراسة نجاحات البرمجيات الخبيثة التاريخية وتكييفها مع الأهداف المعاصرة. مع زيادة اعتماد تقنية البلوكشين في التمويل التقليدي وتطبيقات سلسلة التوريد، يستمر الحافز لعمليات السرقة المتطورة في النمو. سيكون التعاون بين بائعي الأمان وإنفاذ القانون، إلى جانب وعي المستخدم، محوريًا في تعطيل هذه الحملات قبل أن تتسبب في دمار على الاقتصاد الرقمي المتنامي.