كشفت دراسة حديثة عن ظهور برمجية خبيثة متطورة تهدف إلى تعدين العملات المشفرة، مستغلّةً وسائل التخزين الخارجية وقادرة على اختراق الأنظمة المعزولة عن الشبكة. تستهدف هذه الحملة الخبيثة، التي تم رصدها مؤخرًا، البنية التحتية الرقمية بأساليب معقدة.
تعمل البرمجية الخبيثة كعملية عدوى متعددة المراحل، مع إعطاء الأولوية لتعدين عملة المونيرو (Monero) المشفرة، مع بناء آليات استمرارية لمقاومة الإزالة. تختلف هذه الحملة عن عمليات التعدين الخبيث التقليدية بتبنيها استغلال نواة النظام وقدرات انتشار شبيهة بالديدان.
تبدأ عملية الهجوم عبر حزم برمجية مقرصنة تدّعي كونها مثبتات لبرامج الإنتاجية المكتبية الشرعية. بعد التنفيذ، تنشر البرمجية الخبيثة مكونات متعددة تعمل بتنسيق للحفاظ على الإصابة وزيادة إنتاجية التعدين.
برمجية تعدين العملات المشفرة المتطورة
تشتمل العملية على عمليات مراقبة إضافية تخلق بنية ذاتية الإصلاح، حيث يؤدي إنهاء أحد المكونات إلى إعادة إحياء المكونات الأخرى في غضون ثوانٍ. ما يجعل هذا التهديد مقلقًا بشكل خاص هو طريقة انتشاره، حيث تم اكتشاف هذا النشاط الخبيث في أواخر عام 2025، وكشف عن عملية تراقب بنشاط محركات الأقراص الخارجية المتصلة حديثًا.
عندما يقوم المستخدمون بإدخال أقراص USB محمولة أو أقراص صلبة خارجية، تقوم البرمجية الخبيثة بنسخ نفسها تلقائيًا إلى الجهاز وإنشاء مجلدات مخفية تحتوي على اختصارات خادعة. يمكّن هذا الأسلوب الحركة الجانبية عبر الشبكات ويمكنه اختراق الأنظمة المعزولة عن طريق نقل الوسائط المادية.
تُظهر بنية البرمجية الخبيثة فصلًا متعمدًا بين منطق الأوامر ومنطق التنفيذ. يتولى المتحكم عمليات المراقبة واتخاذ القرار، مع الحفاظ على خفته لتجنب اكتشافه من قبل البرامج الأمنية. تتولى مكونات الحمولة المنفصلة عمليات التعدين كثيفة الاستهلاك للموارد والإجراءات الدفاعية الشرسة، بما في ذلك إنهاء الأدوات الأمنية أو عملية مستكشف ويندوز الشرعية.
استغلال نواة النظام وتحسين الأداء
يتضمن المكون التقني الأكثر تطورًا تقنية “أحضر معك برنامج تشغيل قابل للضعف” (Bring Your Own Vulnerable Driver). تسقط البرمجية الخبيثة ملف WinRing0x64.sys، وهو مكون برنامج تشغيل شرعي ولكنه قابل للضعف يحتوي على الثغرة CVE-2020-14979. تسمح هذه الثغرة بالحصول على امتيازات نواة من المستوى 0 (Ring 0)، متجاوزةً بذلك طبقة تجريد الأجهزة في نظام التشغيل.
من خلال الوصول إلى النواة، تقوم البرمجية الخبيثة بتعديل سجلات نماذج وحدات المعالجة المركزية (CPU Model Specific Registers) لتعطيل تقنية السحب المسبق للأجهزة (hardware prefetchers) التي تتداخل مع كفاءة خوارزمية التعدين RandomX. تعمل هذه التحسينات على زيادة معدل تجزئة تعدين المونيرو بنسبة تتراوح بين 15% و 50%.
يحقق هذا الأسلوب تحسينات في الأداء دون الحاجة إلى كتابة برنامج تشغيل خبيث، بل يستفيد من التوقيع الرقمي الصالح لبرنامج التشغيل القديم القابل للضعف. تتضمن الحملة ضوابط زمنية مع منطق مدمج يتحقق من تاريخ النظام مقابل 23 ديسمبر 2025. قبل هذا الموعد النهائي، تستمر البرمجية الخبيثة في إجراءات العدوى، ولكن بعدها تقوم بتشغيل وضع التنظيف الذي ينهي المكونات ويمسح الملفات المنشورة، مما يشير إلى دورة حياة تشغيل مخطط لها.
يجب على المؤسسات فرض قائمة حظر برامج التشغيل القابلة للضعف (Vulnerable Driver Blocklist) من Microsoft من خلال التحكم في تطبيقات Windows Defender لمنع تحميل برامج التشغيل الضعيفة. يمكن لتطبيق سياسات التحكم في الأجهزة لتقييد وسائل الإعلام القابلة للإزالة قطع ناقل انتشار الدودة. يجب على فرق الأمان تكوين تصفية الويب لحظر الاتصالات الصادرة إلى مجمعات التعدين الاستهلاكية وفرض تدريب الوعي الأمني بشأن مخاطر البرامج المقرصنة.