أخر الأخبار
0

تحذير مايكروسوفت 2026: فيروس CryptoBandits يسرق محفظتك عبر USB

أنور سالمي أنور سالمي
اخترنا على Google
🚨

تحذير أمني عاجل من فريق أرباحي — يونيو 2026

رصد فريقنا تقرير مايكروسوفت الأمني الصادر في 17 يونيو 2026 حول برمجية CryptoBandits.A الخطيرة، التي تحوّل فلاشات USB العادية إلى أداة لسرقة العملات الرقمية. اقرأ هذا الدليل الكامل لمعرفة كيف تعمل البرمجية وكيف تحمي محفظتك من اختراق المحافظ الرقمية عبر فيروس USB للكريبتو.

احذر اختراق محفظتك: كيف تسرق برمجية CryptoBandits عملاتك الرقمية؟
دليلك لحماية الكريبتو من فيروس USB الجديد (تحذير CryptoBandits)

في 17 يونيو 2026، أصدرت شركة مايكروسوفت تقريرًا أمنيًا صادمًا كشفت فيه عن برمجية خبيثة جديدة تُعرف بـ CryptoBandits.A، وهي برمجية متطورة ونشطة منذ فبراير 2026 تستهدف بشكل مباشر مستخدمي العملات الرقمية الذين يعتمدون على الاحتجاز الذاتي لأصولهم (Self-Custody). ما يُميز هذه البرمجية عن سابقاتها هو أسلوبها الخبيث في التسلل، إذ تحوّل أبسط الأدوات التي نستخدمها يوميًا — فلاشة USB العادية — إلى فخ صامت ومتطور لسرقة ثرواتك الرقمية.

نحن في أرباحي رصدنا هذا التقرير بعناية فائقة وقررنا نقل تفاصيله الفنية الكاملة إليك بأسلوب مبسط وعملي. الهجوم لا يستهدف الشبكة مباشرةً، ولا يعتمد على اختراق البورصات، بل يستهدف أخطر حلقة ضعف في كل عملية تداول: الجهاز الذي تستخدمه لنسخ عناوين المحافظ ولصقها، وإدخال الكلمات المفتاحية، وتأكيد التحويلات.

سواء كنت مستثمرًا مبتدئًا يستخدم محفظة ويب، أو محترفًا يمتلك محفظة باردة من طراز Ledger أو Trezor، فإن هذا التقرير يُلقي بتحذيرات تخص الجميع دون استثناء. تابع معنا لفهم التهديد الكامل وكيف تحمي نفسك خطوةً بخطوة.


⚠️ إخلاء مسؤولية: المعلومات الواردة في هذا المقال مُستقاة من التقرير الأمني الرسمي لمايكروسوفت (يونيو 2026) وتُقدَّم لأغراض توعوية وتعليمية بحتة. لا تُعدّ نصيحة مالية أو قانونية. فريق أرباحي غير مسؤول عن أي خسائر ناجمة عن إصابة الأجهزة ببرمجيات خبيثة. نوصي دائمًا بالتواصل مع متخصصي أمن المعلومات في حال الاشتباه بأي اختراق.

ما هي برمجية CryptoBandits.A وما علاقة مايكروسوفت بها؟

CryptoBandits.A هو الاسم الرسمي الذي أطلقته مايكروسوفت على برمجية خبيثة من فئة Trojan/Worm تستهدف مستخدمي ويندوز المتعاملين بالعملات الرقمية. تم رصدها رسميًا لأول مرة في فبراير 2026، وأعلنت عنها مايكروسوفت في تقرير أمني مفصّل نشرته في 17 يونيو 2026. الاسم التقني الكامل للبرمجية كما يُعرفها Microsoft Defender هو: Trojan:Win32/CryptoBandits.A.

ما يُميز هذه البرمجية ويجعلها خطيرة بشكل استثنائي هو مزيجها الفريد من ثلاث قدرات هجومية مجتمعة في آنٍ واحد:

  • الانتشار عبر USB عن طريق ملفات اختصار خبيثة (.lnk).
  • سرقة أسرار المحافظ من حافظة النسخ (Clipboard) في الوقت الفعلي.
  • التواصل مع خوادم المخترقين عبر شبكة Tor المُخفية دون إمكانية تتبع سهلة.

قامت مايكروسوفت بتحليل آلية عمل البرمجية بشكل معمّق وربطتها بأنماط هجومية موثّقة في قاعدة MITRE ATT&CK، وهي المرجع العالمي لتصنيف تقنيات الهجوم الإلكتروني. وقد تداول مجتمع أمان بينانس العربي هذا التحذير مبكرًا لحماية المستثمرين من مخاطر اختراق المحافظ الرقمية، ويمكنك مطالعة المناقشة على منشور بينانس سكوير حول هذا التحذير الأمني.

تجدر الإشارة إلى أن مايكروسوفت لم تُفصح عن عدد الضحايا أو حجم المبالغ المسروقة أو الجهة الجغرافية المنسوبة لهذا الهجوم. لكن نمط الهجوم في حد ذاته يُمثّل تهديدًا واضحًا لكل من يتعامل بالعملات الرقمية على نظام ويندوز، وبشكل خاص المستثمرين الذين يحتفظون بأصول ضخمة في محافظ ذاتية الاحتجاز.

يُشير التقرير كذلك إلى أن هذا النمط ليس الأول من نوعه؛ فقد تتبّعنا في أرباحي هجمات مشابهة كـ ClipBanker وبرمجيات سرقة المحافظ المرتبطة ببيئة ويندوز من قبل. لكن ما يُميز CryptoBandits.A هو الجمع بين انتشار USB والتحكم عبر Tor وسرقة الحافظة في أداة واحدة متكاملة، وهو ما يرفعها إلى مستوى مختلف من التهديد.

كيف تنتشر برمجية CryptoBandits عبر منافذ الـ USB؟

تُعدّ آلية انتشار CryptoBandits.A عبر الـ USB من أكثر الأساليب خداعًا وخطورةً في عالم الهجمات الإلكترونية الحديثة. لماذا؟ لأنها تستغل ثقة المستخدم في الملفات التي يعرفها ويتعامل معها يوميًا — كملفات PDF أو Word أو Excel — لتحوّلها إلى سلاح صامت دون أي مؤشر واضح للخطر.

إليك كيف يحدث الهجوم خطوةً بخطوة بمجرد إدخال فلاشة USB مُصابة في جهازك:

  • الخطوة الأولى — مسح محتوى الفلاشة: تقوم البرمجية تلقائيًا بمسح شامل للفلاشة بحثًا عن ملفات من أنواع شائعة مثل .doc و .xlsx و .pdf.
  • الخطوة الثانية — إخفاء الملفات الأصلية: تُخفي البرمجية كل الملفات الحقيقية الموجودة على الفلاشة، فلا تظهر عند التصفح العادي في مستكشف الملفات.
  • الخطوة الثالثة — إنشاء ملفات اختصار خبيثة (.lnk): تُنشئ البرمجية ملفات اختصار بنفس أسماء الملفات المُخفاة تمامًا، مع أيقونات مطابقة (أيقونة Word، أيقونة PDF، إلخ). النتيجة: يرى المستخدم نفس ملفاته التي يعرفها.
  • الخطوة الرابعة — الفخ ينطلق عند النقر: حين ينقر المستخدم على أي من هذه الملفات اعتقادًا بأنها مستنداته الأصلية، يُشغَّل حمولة الدودة (Worm Payload) في الخلفية بصمت تام بدون أي نافذة أو رسالة تنبيه.
  • الخطوة الخامسة — التثبيت على الجهاز: تُسقط البرمجية حمولات JavaScript مُشفَّرة (Obfuscated) داخل مجلد C:\Users\Public\Documents، وتُثبّت نفسها عبر المهام المجدولة (Scheduled Tasks) لتعمل تلقائيًا عند كل إعادة تشغيل للجهاز.
  • الخطوة السادسة — الانتشار الذاتي المستمر: تُراقب البرمجية باستمرار منافذ USB لجهازك، وتُعيد نسخ نفسها على أي فلاشة جديدة تُوصَّل، محوّلةً كل جهاز مُصاب إلى مصدر عدوى لأجهزة أخرى.

الجانب الأكثر خطورةً هو أن هذا الهجوم لا يتطلب أي مهارات تقنية من الضحية. مجرد النقر المعتاد على ملف تعتقد أنه مستندك الشخصي يكفي لاختراق جهازك بالكامل. وهذا بالضبط ما يجعل هذا النوع من الهجمات فعّالًا جدًا في بيئات العمل المكتبية والمنازل على حدٍّ سواء.

بمجرد انتهاء مرحلة التثبيت، يتحول الجهاز المُصاب إلى منصة مراقبة صامتة تترقب كل تفاعل تُجريه مع محفظتك الرقمية. وهنا يبدأ الجزء الأكثر تطورًا وخطرًا من الهجوم: اختطاف حافظة النسخ.

آلية سرقة العملات: اختطاف الحافظة (Clipboard Hijacking)

بعد أن تُثبّت البرمجية نفسها وتتواصل مع خادم المخترق عبر شبكة Tor المُخفية (عبر SOCKS5 Proxy على localhost:9050)، تدخل في طور عملها الأخطر: مراقبة حافظة النسخ في جهازك (Clipboard) على مدار الساعة. هذه العملية صامتة تمامًا ولا تُسبب أي بطء ملحوظ في الجهاز، مما يجعلها شبه مستحيلة الاكتشاف بالعين المجردة.

المرحلة الأولى: البحث عن الكلمات المفتاحية (Seed Phrases) والمفاتيح الخاصة

تقوم البرمجية بفحص محتوى حافظة النسخ كل 500 ميلي ثانية (أي مرتين في الثانية الواحدة تقريبًا) في حلقة مستمرة لا تنقطع. في كل فحص، تبحث عن المعطيات التالية:

  • العبارات الاستدلالية (Seed Phrases / Mnemonic): العبارات المكوّنة من 12 أو 24 كلمة وفق معيار BIP39 — وهي مفتاح الاستعادة الرئيسي لأي محفظة رقمية ذاتية الاحتجاز.
  • مفاتيح البيتكوين الخاصة (Bitcoin WIF Keys): المفاتيح التي تُتيح التحكم الكامل في أموال محفظة البيتكوين.
  • مفاتيح الإيثريوم الخاصة (Ethereum Private Keys): وكل العملات المبنية على سلاسل EVM المتوافقة.
  • عناوين المحافظ الرقمية: عناوين البيتكوين، الإيثريوم، ترون (TRON)، مونيرو (Monero)، وغيرها من الشبكات الشائعة.

إذا اكتشفت البرمجية عبارة استدلالية أو مفتاحًا خاصًا في الحافظة، فإنها تحفظه محليًا أولًا ثم تُرسله فورًا إلى خادم المخترق عبر شبكة Tor المشفّرة. من هذه اللحظة، تُصبح كل محفظة مرتبطة بتلك العبارة في خطر تام وكامل، بصرف النظر عن المحفظة أو الشبكة التي تستخدمها، لأن من يملك الكلمات المفتاحية يملك كل شيء.

المرحلة الثانية: استبدال عناوين المحافظ بأسلوب خداع ذكي ومتطور

هنا تكمن أخطر وأذكى خاصية في البرمجية بأكملها. عندما تكتشف البرمجية أنك نسخت عنوان محفظة رقمية إلى الحافظة — كعنوان إيداع في بورصة أو عنوان تحويل — فإنها لا تكتفي بتسجيله، بل تُبدّل العنوان المنسوخ فورًا بعنوان يخص المخترق.

ما يجعل هذا الاستبدال بالغ الخطورة هو الذكاء في التزوير. لا تضع البرمجية عنوانًا عشوائيًا مختلفًا تمامًا، بل تحرص على أن يبدو العنوان البديل مشابهًا للعنوان الأصلي:

  • بالنسبة لعناوين البيتكوين وترون ومونيرو: تحاول البرمجية مطابقة الأحرف الأولى من العنوان الأصلي، بحيث تبدو البداية مألوفة جدًا عند المراجعة السريعة.
  • بالنسبة لعناوين البيتكوين بصيغة Bech32 (التي تبدأ بـ bc1): تقوم البرمجية بتغيير آخر حرف أو حرفين فقط من العنوان، مما يجعل الفرق شبه غير مرئي للمراجعة السريعة التي نعتمد عليها جميعًا.

النتيجة المأساوية: إذا اعتدت كما يفعل معظمنا مراجعة أول وآخر بضعة أحرف من عنوان المحفظة قبل التأكيد، فأنت تقع في الفخ بالضبط. أموالك تذهب مباشرةً إلى محفظة المخترق، والمعاملات على البلوكتشين لا رجعة فيها مهما كان مبلغها.

علاوةً على كل ما سبق، تقوم البرمجية بالتقاط لقطات من شاشتك وإرسالها للمخترق عبر Tor، مما يُتيح له رؤية أرصدتك ومحافظك وأي معلومة حساسة تُعرضها على شاشتك حتى دون أن تتفاعل مع الحافظة.


هل منحت إذنًا لعقد ذكي لا تتذكره؟

إلغاء الصلاحيات الزائدة هو أولى خطوات تحصين محفظتك. اقرأ دليلنا الشامل لاستخدام Revoke.cash وكيف يحميك من التفويضات الخبيثة التي تُفتح أبواب محفظتك للمخترقين.

🔒 اقرأ الدليل الشامل لـ Revoke.cash ←

خرافة الأمان المطلق: لماذا المحافظ الباردة (Hardware Wallets) لا تكفي وحدها؟

من أكثر الاعتقادات شيوعًا في مجتمع الكريبتو أن من يمتلك محفظة باردة (Hardware Wallet) من طراز Ledger أو Trezor هو بمنأى تام عن الهجمات الإلكترونية. هذا الاعتقاد صحيح جزئيًا فقط، وتقرير مايكروسوفت حول CryptoBandits.A يكشف بوضوح حدود هذه الحماية ولماذا لا تكفي وحدها.

المحفظة الباردة مُصمَّمة لحماية شيء واحد محدد جدًا: المفتاح الخاص (Private Key). وهي تفعل ذلك بامتياز حقيقي؛ لا يغادر المفتاح الخاص الجهاز المادي أبدًا. لكن عملية إرسال التحويلات لا تقتصر على المفتاح الخاص وحده. فيها جزء آخر حساس يتم على جهاز الكمبيوتر المتصل بها — وهو بالضبط ما تستهدفه CryptoBandits.A.

إليك السيناريوهات الخطيرة التي يُحدث فيها الجهاز المُصاب فارقًا حاسمًا حتى مع محفظة باردة من الدرجة الأولى:

  • سيناريو استبدال العنوان عند الإرسال: تذهب لإرسال عملات لصديق أو بورصة، فتنسخ عنوان المستلم من المتصفح إلى الحافظة. في هذه اللحظة بالتحديد، تُبدّل البرمجية العنوان في الحافظة بعنوان المخترق. تلصق ما تعتقده العنوان الصحيح، تُوقّع على المحفظة الباردة، فيذهب المال مباشرةً للمخترق.
  • سيناريو سرقة الكلمات المفتاحية: إذا احتجت لاستعادة محفظتك يومًا ما وقمت بكتابة أو نسخ الـ Seed Phrase على جهاز مُصاب، فإن البرمجية تلتقطها على الفور وتُرسلها للمخترق. من هذه اللحظة يملك المخترق سيطرة مطلقة وكاملة على محفظتك بغض النظر عن مكانك أو جهازك.
  • سيناريو التجسس عبر لقطات الشاشة: تقوم البرمجية بالتقاط لقطات لشاشة جهازك وإرسالها للمخترق، فيرى رصيدك الكامل وتفاصيل معاملاتك وأي معلومة حساسة تُعرضها على الشاشة — حتى دون أن تنسخ أي شيء.

الخلاصة التي تُركّز عليها مايكروسوفت في تقريرها: المحفظة الباردة تحمي المفتاح الخاص، لكنها لا تستطيع جعل حافظة جهازك المُصاب موثوقة. ما دمت تستخدم جهاز كمبيوتر مُصابًا لنسخ العناوين ولصقها أو إدارة عمليات التحويل أو إدخال معلومات التعافي، فأنت في دائرة الخطر بصرف النظر عن جودة محفظتك الباردة وسمعة مصنّعها.

هذا تحديدًا ما تُؤكده توثيقات MetaMask الرسمية التي تُنبّه دائمًا إلى ضرورة التحقق من عنوان المستلم قبل تأكيد أي عملية إرسال. وتُضيف مايكروسوفت في تقريرها أن CryptoBandits.A تستهدف الجانبين المتكاملين في آنٍ واحد: السر الذي يتحكم في المحفظة (Seed Phrase)، والعنوان الذي يستقبل الأموال.

جدول المقارنة: السلوك الخبيث لـ CryptoBandits.A مقابل الرد العملي للحماية

استنادًا مباشرًا إلى تقرير مايكروسوفت الأمني (يونيو 2026)، نُلخّص في الجدول التالي كل سلوك خبيث تُمارسه البرمجية، والخطر الفعلي الذي يمثله على الاحتجاز الذاتي للعملات، وما هو الإجراء الدفاعي العملي الذي يُقابله ويُخفّف أثره:

⚠️ السلوك الخبيث للبرمجية خطر الاحتجاز الذاتي الرد العملي للحماية
ملفات اختصار خبيثة (.lnk) على USB تُخفي المستندات الأصلية فتح ملف يبدو عاديًا يُشغّل الدودة ويُثبّتها على الجهاز بصمت تام. تعطيل AutoRun/AutoPlay وحجب تنفيذ .lnk من الـ USB عبر Group Policy في بيئات العمل.
مراقبة الحافظة كل 500ms واستبدال عناوين المحافظ بعناوين المخترق عنوان المستلم يتغير في الحافظة قبل اللصق دون علم المستخدم، فتذهب الأموال للمخترق. التحقق البصري الكامل من العنوان حرفًا بحرف على شاشة المحفظة الباردة، وليس على شاشة الكمبيوتر.
سرقة الكلمات المفتاحية (Seed Phrases) والمفاتيح الخاصة من الحافظة تسرّب الـ Seed Phrase يمنح المخترق سيطرة كاملة على كل محافظ مرتبطة بها إلى الأبد. الاحتفاظ بالكلمات المفتاحية ورقيًا أو على لوحة معدنية فقط. لا تدخلها أبدًا على أي جهاز متصل بالإنترنت.
التقاط لقطات الشاشة وإرسالها للمخترق عبر Tor يرى المخترق الأرصدة والمعاملات وأي معلومة حساسة تظهر على الشاشة في الوقت الفعلي. استخدام جهاز منفصل ومخصص تمامًا للعمليات المالية لا يُستخدم لأي غرض آخر.
الاتصال بخادم C2 عبر Tor (localhost:9050 كـ SOCKS5 Proxy) يصعب تتبع الاتصال وحجبه لأنه يمر عبر Proxy محلي غير مباشر. رصد نشاط SOCKS5 على المنفذ 9050، والتحقيق في أي سكريبت يُنشئ اتصالات خارجية (curl / PowerShell).
الانتشار التلقائي على كل فلاشة USB تُوصَّل بالجهاز المُصاب كل فلاشة جديدة تتحول إلى ناقل عدوى لأجهزة أخرى دون علم المستخدم. عزل جهاز الكريبتو عن أجهزة العمل اليومي، وتهيئة (Format) أي USB مشبوه قبل إعادة استخدامه.
تثبيت مهام مجدولة (Scheduled Tasks) وحمولات JavaScript مُشفَّرة للاستمرارية تستمر البرمجية في العمل تلقائيًا بعد كل إعادة تشغيل وتُصعّب الإزالة اليدوية. مراجعة Task Scheduler دوريًا وتشغيل فحص شامل بـ Microsoft Defender المُحدَّث. إعادة تثبيت Windows عند الاشتباه.

خطوات الحماية العملية من CryptoBandits.A

استنادًا إلى إرشادات مايكروسوفت الأمنية الرسمية وخبرتنا في أرباحي في تغطية أمن الكريبتو لسنوات، نُقدّم لك خارطة طريق عملية ومُفصّلة للحماية من هذا النوع من البرمجيات الخبيثة.

الخطوة الأولى: تعطيل التشغيل التلقائي (AutoRun/AutoPlay) لمنافذ الـ USB

هذه الخطوة تُقطع حلقة الهجوم الأساسية من جذرها، إذ إن التشغيل التلقائي هو ما يُتيح لملفات .lnk تنفيذ نفسها بمجرد إدخال الفلاشة أو النقر عليها. لتعطيله:

  • اذهب إلى إعدادات Windows ← Bluetooth & devices ← AutoPlay وأوقف تشغيله تمامًا لجميع أنواع الوسائط.
  • في بيئات العمل المؤسسية، يوصي مايكروسوفت بحجب تنفيذ ملفات .lnk من الوسائط القابلة للإزالة عبر Group Policy.
  • قيّد استخدام أدوات تشغيل السكريبتات مثل wscript.exe وcscript.exe لمنع تنفيذ JavaScript الخبيث.
  • راجع وفعّل قواعد Attack Surface Reduction (ASR) في مايكروسوفت ديفندر، وخاصةً القواعد المتعلقة بالسكريبتات المُشفَّرة وعمليات الأطفال المشبوهة.

الخطوة الثانية: تخصيص جهاز كمبيوتر منفصل ونظيف للعملات الرقمية

هذه النصيحة بالغة الأهمية للمستثمرين ذوي الأصول الكبيرة، وهي توصية يُركّز عليها تقرير مايكروسوفت بشكل صريح. الجهاز الذي تستخدمه لتصفح الويب وفتح الإيميلات وتوصيل فلاشات USB متنوعة يجب أن يكون مختلفًا تمامًا عن الجهاز الذي تستخدمه لإدارة محافظك الرقمية.

  • جهاز الكريبتو يجب أن يكون استخدامه مقتصرًا على المحافظ الرقمية والتحويلات فقط، لا شيء آخر.
  • لا توصّل به فلاشات USB من مصادر غير موثوقة، ولا تفتح عليه رسائل بريد إلكتروني غير معروفة، ولا تنزّل برامج عشوائية.
  • حافظ على تحديث نظام التشغيل وبرامج الأمان على هذا الجهاز بشكل دوري ومنتظم.
  • فكّر في استخدام نظام Linux على جهاز الكريبتو المخصص، إذ إن CryptoBandits.A تستهدف نظام ويندوز تحديدًا.

الخطوة الثالثة: المراجعة البصرية الكاملة على شاشة المحفظة الباردة نفسها

هذه الخطوة هي درع الدفاع الأخير لمستخدمي Ledger وTrezor وما شابههما من المحافظ الباردة. عند إرسال أي تحويل، لا تكتفِ أبدًا بمراجعة العنوان على شاشة الكمبيوتر — إذ يمكن أن تكون البرمجية قد بدّلته بالفعل — بل:

  • اقرأ العنوان كاملًا حرفًا بحرف على شاشة المحفظة الباردة وقارنه بعنوان المصدر الأصلي (مثل صفحة الإيداع في البورصة) مُباشرةً، لا من الحافظة.
  • لا تكتفِ بمطابقة أول 4 أحرف وآخر 4 أحرف فقط — هذا بالضبط ما تعتمد عليه البرمجية في خداعك بأسلوب الاستبدال الجزئي.
  • إذا كنت تُرسل مبالغ ضخمة، فكّر في إرسال مبلغ اختباري صغير جدًا أولًا للتحقق من صحة العنوان قبل الإرسال الكامل.
  • استخدم ميزة كتاب العناوين (Address Book) في المحافظ التي تدعمها لحفظ العناوين الموثوقة مسبقًا، وتجنب النسخ واللصق في كل مرة.

الخطوة الرابعة: حماية الكلمات المفتاحية (Seed Phrases) من الاختراق الرقمي

الكلمات المفتاحية هي تاج الأسرار في عالم الكريبتو. حمايتها من برمجيات كـ CryptoBandits تتطلب تطبيق قاعدة ذهبية واحدة لا استثناء فيها أبدًا:

  • لا تدخل أبدًا كلماتك المفتاحية على أي جهاز متصل بالإنترنت، سواء كان كمبيوترًا أو هاتفًا أو تابلت.
  • لا تنسخها في ملف نصي (Notepad، Word، Google Docs)، ولا ترسلها عبر أي تطبيق مراسلة حتى لو بدا آمنًا.
  • الاحتفاظ بها ورقيًا في مكان آمن وسري هو الخيار الأمثل. بعض المستثمرين الجادين يستخدمون لوحات معدنية (Metal Seed Plates) لتحملها من الحرائق والأعطال المادية.
  • إذا اشتبهت بأن جهازًا ما رأى كلماتك المفتاحية بأي شكل، انقل أصولك فورًا إلى محفظة جديدة بكلمات مفتاحية أُنشئت على جهاز لم يتعرض للخطر قط.

إذا اشتبهت بإصابة جهازك: هذه هي خطواتك الفورية

إذا كنت تعتقد أن جهازك مُصاب، أو أنك أدخلت فلاشة USB من مصدر مشبوه مؤخرًا، فاتبع هذه الخطوات الفورية دون تأخير:

  • عزل الجهاز فورًا: افصله عن الإنترنت وعن كل شبكة لمنع تسرّب المزيد من البيانات للمخترق.
  • لا تُجرِ أي معاملة كريبتو من هذا الجهاز أو أي جهاز يشارك نفس الشبكة، حتى تتم المعالجة الكاملة.
  • انقل أصولك فورًا من جهاز نظيف آخر لم يتعرض للفلاشة المشبوهة. هذه الأولوية القصوى إذا كانت عملاتك في محافظ ذاتية.
  • أجرِ فحصًا شاملًا باستخدام Microsoft Defender المُحدَّث وابحث عن الكشف: Trojan:Win32/CryptoBandits.A.
  • راجع Task Scheduler (مجدول المهام) للبحث عن مهام مجهولة المصدر أو تُشغّل ملفات JavaScript.
  • في حال التأكد من الإصابة، الحل الأكثر أمانًا هو إعادة تثبيت نظام التشغيل بالكامل (Format)، إذ إن البرمجية تستخدم مهام مجدولة متعددة لضمان بقائها.

كيف يكتشف مايكروسوفت هذه البرمجية؟ إشارات الكشف التقني

أعلنت مايكروسوفت أن Microsoft Defender يمتلك كشفًا فعّالًا وموثّقًا لـ CryptoBandits.A، وقدّمت للمتخصصين الأمنيين مجموعة من المؤشرات السلوكية للكشف المبكر قبل أن تُلحق البرمجية أضرارًا فعلية.

أسماء الكشف الرسمية في Microsoft Defender:

  • Trojan:Win32/CryptoBandits.A
  • كشوفات JavaScript مرتبطة بالبرمجية (JS/CryptoBandits)
  • تغطية EDR للعمليات المشبوهة المرتبطة بـ curl وTask Scheduler

الإشارات السلوكية الرئيسية التي يجب رصدها على الأجهزة الحساسة:

  • سكريبت ينشئ اتصالًا بالشبكة: أي عملية Script Engine تُطلق أوامر curl أو PowerShell لإنشاء اتصالات خارجية غير متوقعة.
  • SOCKS5 Proxy على المنفذ 9050: أي نشاط على localhost:9050 يُشير بقوة إلى توجيه حركة المرور عبر Tor.
  • مهام مجدولة مجهولة المصدر: مهام تُشغّل سكريبتات JavaScript أو PowerShell بشكل دوري، خاصةً في مجلد Public\Documents.
  • نشاط PowerShell لالتقاط الشاشة: أوامر screen-capture غير مبررة على أجهزة تتعامل مع تدفقات مالية.
  • ملفات JavaScript مُشفَّرة في مجلد Public: وجود ملفات .js مشبوهة في مسار C:\Users\Public\Documents.
  • قراءة متكررة جدًا للـ Clipboard: نشاط clipboard-read بمعدل أعلى بكثير من المعتاد.

تُربط هذه الإشارات بتقنيات ATT&CK معيارية تشمل: T1115 (Clipboard Data)، وT1090 (Proxy)، وT1053 (Scheduled Task/Job)، وT1025 (Data from Removable Media). لمن يعمل في مجال أمن المعلومات المؤسسي، مراجعة هذه الأنماط وتفعيل قواعد SIEM المناسبة خطوة لا يمكن تأجيلها.

نُنبّه بشدة إلى أهمية تحديث Microsoft Defender وتفعيل Cloud-delivered Protection للحصول على أحدث تعريفات الكشف. تحديثات الأمان اليومية هي خط الدفاع الأول تجاه تهديدات متطورة كهذه، ولا يوجد مبرر لتأجيلها.

تداول عملاتك بأمان على منصات موثوقة

في ضوء تهديدات كـ CryptoBandits.A التي تستهدف المحافظ الذاتية، يرى كثير من خبراء الأمن أن الاحتفاظ بجزء من الأصول على منصات تداول مركزية كبرى وموثوقة يُقلّل من مخاطر سرقة الـ Clipboard والـ Seed Phrase — إذ تمتلك هذه المنصات أنظمة أمان متعددة الطبقات وفرق أمن متخصصة تعمل على مدار الساعة. إليك المنصات التي نُوصي بها في أرباحي:

منصة Gate

منصة عالمية موثوقة بأوسع تشكيلة من العملات الرقمية وأنظمة أمان متطورة تتضمن 2FA وقوائم العناوين البيضاء.

كود الدعوة والمكافآت: AllDA18J
سجّل في Gate واحصل على مكافآت ترحيبية
منصة MEXC

إحدى أسرع المنصات نموًا، بخصومات تداول مميزة وأمان متعدد الطبقات ودعم رائع للمستخدم العربي.

كود الخصم الإضافي: mexc-arbehi
سجّل في MEXC واحصل على خصم في رسوم التداول

* هذه روابط إحالة (Affiliate Links) تدعم استمرار محتوى أرباحي. فعّل دائمًا المصادقة الثنائية (2FA) وقائمة العناوين البيضاء على أي منصة. المنصات المركزية تحمل مخاطرها الخاصة ولا تُغني عن الوعي الأمني.

الأسئلة الشائعة حول برمجية CryptoBandits.A

1. هل برمجية CryptoBandits.A تستهدف أجهزة Mac وLinux أيضًا؟

وفقًا لتقرير مايكروسوفت (يونيو 2026)، تستهدف CryptoBandits.A حصريًا نظام ويندوز، إذ تعتمد على ملفات .lnk الخاصة بويندوز وعلى Task Scheduler ومعالجات JavaScript الخاصة به. مستخدمو Mac وLinux غير مستهدفين بهذه النسخة تحديدًا، لكن هذا لا يعني الإهمال الأمني — توجد برمجيات اختطاف حافظة مماثلة تستهدف هذه الأنظمة أيضًا.

2. هل المحفظة الباردة (Ledger/Trezor) تحمي تمامًا من CryptoBandits.A؟

المحفظة الباردة تحمي المفتاح الخاص من السرقة المباشرة، لكنها لا تحمي من اختطاف الحافظة (Clipboard Hijacking). إذا نسخت عنوان المستلم على جهاز مُصاب، قد تُبدّل البرمجية العنوان قبل لصقه. الحل هو التحقق البصري الكامل من العنوان على شاشة المحفظة الباردة نفسها حرفًا بحرف، وليس الاعتماد على ما تراه على شاشة الكمبيوتر.

3. كيف أعرف إذا كان جهازي مُصابًا ببرمجية CryptoBandits؟

قم بفحص شامل بـ Microsoft Defender المُحدَّث وابحث عن: Trojan:Win32/CryptoBandits.A. افتح Task Scheduler وابحث عن مهام مجهولة المصدر تُشغّل JavaScript أو PowerShell. افحص مجلد C:\Users\Public\Documents للبحث عن ملفات .js غريبة. أي نشاط شبكي على المنفذ 9050 (Tor proxy) هو إشارة تحذيرية قوية جدًا.

4. هل استخدام VPN يحمي من اختطاف الحافظة (Clipboard Hijacking)؟

لا، VPN لا يحمي من Clipboard Hijacking على الإطلاق. هذا الهجوم يحدث محليًا داخل جهازك، وليس عبر الشبكة الخارجية. البرمجية تُعدّل محتوى الحافظة قبل أن تُرسَل أي بيانات عبر الإنترنت. VPN يحمي خصوصية الاتصال بالشبكة، لكنه عاجز عن منع برنامج يعمل بالفعل داخل نظام التشغيل من قراءة الحافظة والتعديل عليها.

5. ماذا أفعل إذا أرسلت تحويلًا لعنوان خاطئ بسبب استبدال الحافظة؟

للأسف، المعاملات على البلوكتشين لا رجعة فيها ولا يمكن إلغاؤها بعد التأكيد. لهذا الوقاية أهم بكثير من العلاج. إذا لم ترسل بعد واشتبهت، قارن العنوان في الحافظة بالعنوان الأصلي من مصدره المباشر. إذا وجدت اختلافًا، أوقف كل عمليات التداول على هذا الجهاز فورًا وانتقل لإجراء فحص الإصابة ونقل أصولك من جهاز نظيف.

6. هل يحميني برنامج الأنتيفيروس من هذه البرمجية؟

Microsoft Defender المُحدَّث يمتلك كشفًا رسميًا للبرمجية. لكن البرمجية تستخدم JavaScript مُشفَّرًا (Obfuscated) مما قد يُعيق الكشف في نسخ الأنتيفيروس غير المُحدَّثة أو غير ذات الجودة. تأكد من تحديث مايكروسوفت ديفندر وتفعيل الحماية السحابية. تذكر أن برامج الأمان وحدها غير كافية — الوعي الأمني وتطبيق Best Practices ضرورة مكمّلة لها.

7. هل يمكن للبرمجية سرقة العملات المحتجزة في بورصات مثل Binance وBybit؟

الأصول المحتجزة داخل البورصات الكبرى لا تتأثر مباشرةً بسرقة الـ Seed Phrase (لأن البورصات تستخدم نظام إدارة مفاتيح مختلف تمامًا). لكن الخطر يكمن في لحظة السحب: إذا سحبت عملاتك من البورصة لمحفظتك الذاتية على جهاز مُصاب، قد تُبدّل البرمجية عنوان المحفظة المستقبلة وتحوّل أموالك للمخترق. لذا تحقق دائمًا من عنوان السحب بدقة متناهية قبل التأكيد.

8. هل الفلاشة USB التي استخدمتها في جهاز مُصاب تعتبر مُلوَّثة؟

نعم وبشكل قاطع. CryptoBandits.A تنسخ نفسها تلقائيًا على كل فلاشة USB تُوصَّل بالجهاز المُصاب، وتُخفي ملفاتك الأصلية وتستبدلها بملفات اختصار خبيثة. استخدام هذه الفلاشة في جهاز آخر ينقل العدوى إليه. يجب تهيئة (Full Format) أي فلاشة USB توصّلت بجهاز مشبوه قبل إعادة استخدامها في أي جهاز آخر.

📌 خلاصة تحذيرية من فريق أرباحي

برمجية CryptoBandits.A تمثّل نقلة نوعية في هجمات سرقة العملات الرقمية عبر فيروس USB للكريبتو. إنها لا تكسر جدران الحماية الرقمية، بل تتسلل من الباب الخلفي عبر أبسط الأدوات — فلاشة USB — وتنتظر بصبر حتى تجد نفسها في قلب أحساس لحظة في عملية تحويلك: لحظة النسخ واللصق. نحن في أرباحي نُؤكد أن الوعي الأمني ليس رفاهية بل ضرورة وجودية لكل من يحمل أصولًا رقمية، مهما صغر حجمها.

القاعدة الذهبية تبقى ثابتة وأكثر أهمية من أي وقت مضى: عامِل جهازك على أنه محتمل الاختراق دائمًا، وتحقق من كل عنوان من مصدره الأصلي لا من الحافظة، واحتفظ بكلماتك المفتاحية بعيدًا تمامًا عن أي جهاز متصل بالعالم الرقمي.

أنور سالمي
أنور سالمي
مدون عربي وصاحب موقع أرباحي المتخصص في مجال الربح من الإنترنت والعملات الرقمية. يقدم من خلال المدونة شروحات عملية ومبسطة حول أفضل المنصات والتطبيقات التي تساعد المستخدمين العرب على تحقيق دخل عبر الإنترنت، بالإضافة إلى مراجعات لمنصات التداول والمحافظ الرقمية ونصائح مفيدة حول عالم الكريبتو والاقتصاد الرقمي.

مقالات قد تهمك

تعليقات