برمجة Windows، واختصارات USB، وTor: الآلية الخفية وراء أداة Crypto Clipper
تقول Microsoft إن أداة تقليم العملات المشفرة المعتمدة على Windows كانت نشطة منذ فبراير 2026، ويعتمد تصميمها على البرمجة المدمجة، وإساءة استخدام الاختصارات، وبنية أوامر مستضافة على Tor.
منذ فبراير 2026، تتبعت Microsoft حملة برمجيات خبيثة على Windows صُممت للتلاعب بمعاملات العملات المشفرة بدلا من إتلاف الملفات أو طلب فدية. الجزء المثير للاهتمام ليس الحمولة فقط، بل البنية أيضا: إذ يظهر في السلسلة نفسها Windows Script Host، ومنطق معتمد على ActiveX، وملفات USB LNK، وطبقة أوامر وتحكم قائمة على Tor. هذا نمط مألوف في هندسة البرمجيات الخبيثة الحديثة - البقاء قريبا من سلوك Windows المشروع، ثم إخفاء قناة التحكم في مكان يصعب تتبعه.
حقائق سريعة
- تستهدف الحملة مستخدمي Windows وكانت نشطة منذ فبراير 2026.
- تصف Microsoft البرمجية الخبيثة بأنها أداة تقليم للعملات المشفرة.
- يشكل Windows Script Host وActiveX جزءا من منطق التنفيذ.
- توصَف الحملة بأنها تتضمن سلوك دودة عبر USB LNK وبنية C2 قائمة على Tor.
- قد يجعل تصميم الخدمة المخفية من الصعب تحديد بنية المشغل أو تعطيلها.
لماذا تهم هذه السلسلة
يفيد Windows Script Host المهاجمين لأنه يستطيع تشغيل كود برمجي من دون إسقاط برنامج مترجم لامع. ويزيد ActiveX من هذا النطاق لأنه يسمح للبرامج النصية بالتفاعل مع مكونات Windows عبر كائنات COM. عمليا، يعني ذلك أن البرنامج النصي يمكنه القيام بأكثر من مجرد تنفيذ الأوامر - إذ يمكن أن يصبح مشغلا مرنا لبقية السلسلة.
ويكتسب جانب USB وLNK الأهمية نفسها للسبب ذاته. فملفات الاختصار عادية بما يكفي لتبدو غير ضارة، ومع ذلك يمكن إساءة استخدامها كنقطة انطلاق أو آلية توصيل. وإذا كانت وسائط التخزين القابلة للإزالة متورطة، يفقد المدافعون بعض الحماية التي يوفرها ترشيح البريد الإلكتروني والضوابط المعتمدة على المتصفح. لا يظهر مسار الإطلاق الدقيق في هذه الحملة بوضوح في المقتطف، لكن الدرس الدفاعي واضح: تستحق ملفات الاختصار على وسائط USB الشك، خاصة عندما تظهر في بيئات لا تعتمد عليها.
ويضيف جزء Tor طبقة ثانية من الصعوبة. تخفي خدمات Onion موقع الخادم خلف شبكة خصوصية، لذلك لا يحتاج C2 الخاص بالمشغل إلى أن يكون مستضافا على خادم إنترنت عادي بعنوان عام ثابت. وهذا لا يثبت النشاط الخبيث بحد ذاته، لكنه في عمليات البرمجيات الخبيثة قد يجعل الحظر والإسناد والعزل أكثر تعقيدا.
بالنسبة لمستخدمي العملات المشفرة، يتمثل الخطر ذي الصلة في التحويل المالي. فبرمجيات Clipper الخبيثة تهدف عادة إلى تغيير عناوين المحافظ المنسوخة أو بيانات المعاملة المشابهة، بحيث يمكن أن يحدث الضرر بهدوء في لحظة تنفيذ التحويل. لا يثبت المقتطف المقدم السلسلة التقنية الكاملة أو نطاق الضحايا أو أي إسناد للجهة الفاعلة، لذا فإن القراءة الأكثر أمانا ضيقة: هذا تصميم برمجي خبيث على Windows يمزج أدوات التنفيذ الأصلية، والتسليم عبر الوسائط القابلة للإزالة، وبنية تحكم مخفية.
الخلاصة
الدرس الأكبر ليس أن ميزة واحدة في Windows خطيرة بحد ذاتها. بل إن المكونات العادية تصبح أكثر خطورة بكثير عندما تُربط معا عن قصد. فمحركات البرامج النصية، وملفات الاختصار، والخدمات الشبكية المجهولة الهوية كلها تقنيات مشروعة. ولكن في الأيدي الخطأ، تشكل مسارا منخفض الاحتكاك للسرقة، والاستمرارية، وحركة الأوامر التي يمكن أن تمتزج مع الضوضاء الطبيعية للنقاط الطرفية. وعلى المدافعين الذين يريدون التقاط هذا النوع من التهديد أن يراقبوا البنية التحتية، لا الحمولة فقط.
TECHCROOK
محرك أقراص USB محمول مزود بمفتاح حماية ضد الكتابة مادي: في سير عمل وسائط التخزين القابلة للإزالة، يمكن أن يساعد محرك محمي ضد الكتابة في الحد من التغييرات غير المرغوب فيها عند نقل الملفات بين الأنظمة. إنه خيار عملي للفرق التي لا تزال تعتمد على تخزين USB وتريد طبقة إضافية من التحكم حول الوسائط غير المألوفة.
WIKICROOK
- Windows Script Host: بيئة برمجة نصية مدمجة في Windows يمكنها تشغيل VBScript وJScript، وغالبا ما تُساء استغلالها للتنفيذ بدون ملفات أو منخفض الضوضاء.
- ActiveX: تقنية من Microsoft تتيح للبرامج النصية إنشاء كائنات COM واستخدامها، مما يوسع ما يمكن للبرمجيات الخبيثة المعتمدة على البرامج النصية فعله.
- ملف .LNK: ملف اختصار في Windows يمكن إساءة استخدامه لتشغيل البرامج أو للربط إلى نشاط خبيث من وسائط قابلة للإزالة.
- خدمة Tor onion: خدمة مستضافة على Tor صُممت لإخفاء موقعها الحقيقي وقبول الحركة فقط عبر شبكة Tor.
- Crypto clipper: برمجية خبيثة تتدخل في عناوين العملات المشفرة المنسوخة أو بيانات المعاملة لتحويل الأموال.




