كشف باحثون أمنيون عن حملة برمجية خبيثة جديدة تستهدف مستخدمي العملات الرقمية، مستغلةً نسخة مزيفة من برنامج Proxifier الشهير. تستخدم هذه الحملة مجلدات GitHub لجذب الضحايا وتسلل برمجية ClipBanker الخبيثة التي تهدف إلى سرقة الأموال الرقمية.
تعتمد هذه الطريقة على إنشاء هويات وهمية على منصة GitHub، مما يجعل البرنامج المتضرر يبدو وكأنه نسخة أصلية وموثوقة من Proxifier. يقوم المهاجمون بتضمين مثبتات خبيثة تتسلل إلى أجهزة المستخدمين دون علمهم، ومن ثم تبدأ في مراقبة حافظة الجهاز لسرقة عناوين المحافظ الرقمية.
حملة ClipBanker الخبيثة تستهدف سرقة العملات الرقمية
بدأت هذه الحملة في مطلع عام 2025، وفقاً لتقرير لشركة Securelist. تمكنت البرمجية الخبيثة، التي تعرف بـ ClipBanker، من تفادي معظم إجراءات الحماية الأمنية باستخدام أساليب متطورة للتخفي.
منذ بدايتها، واجه أكثر من 2000 مستخدم لبرامج كاسبرسكي الأمنية هذا التهديد. تتركز معظم الضحايا في الهند وفيتنام، مما يشير إلى استهداف مناطق جغرافية معينة.
تعمل ClipBanker كبرنامج تجسس على حافظة الجهاز، حيث تقوم باستبدال عناوين المحافظ الرقمية الشرعية التي ينسخها المستخدم عن طريق الخطأ بعناوين يملكها المهاجمون. هذا التبديل يحدث بشكل صامت وفوري، مما يمنع الضحية من اكتشاف الخلل.
وتدعم البرمجية الخبيثة أكثر من 26 شبكة بلوكتشين مختلفة، بما في ذلك البيتكوين، الإيثيريوم، سولانا، وغيرها الكثير. هذا التنوع الكبير يمنح المهاجمين فرصة واسعة لاستهداف قطاع كبير من مستخدمي العملات الرقمية.
أسلوب الهجوم وتجنب الكشف
لكي تبدو الحملة أكثر مصداقية، يعمد المهاجمون إلى تعزيز ظهور مستودعات GitHub الخبيثة عبر محركات البحث. هذا يجعل المستخدمين الذين يبحثون عن برنامج Proxifier يقعون بسهولة في الفخ.
عند تشغيل المثبت المزيف، تبدأ البرمجية الخبيثة بتنفيذ سلسلة معقدة من الخطوات. أولاً، تنشئ ملفاً صغيراً في مجلد الملفات المؤقتة يحمل اسماً مشابهاً لعملية Proxifier الحقيقية.
بعد ذلك، تقوم بحقن تطبيق .NET في هذا الملف، مما يضيف استثناءات لبرنامج Microsoft Defender. هذه الخطوة تضمن أن المراحل اللاحقة من الإصابة لن تثير أي إنذارات أمنية.
بينما يظهر مثبت Proxifier الحقيقي للمستخدم لإيهامه بالأمان، تستمر البرمجية الخبيثة في العمل في الخلفية. تقوم بحقن وحدات أخرى في عمليات النظام الموثوقة، مثل conhost.exe.
ويتم تنفيذ سكربت PowerShell مشفر مباشرة في الذاكرة، دون ترك أي أثر واضح على القرص الصلب. هذه التقنية تجعل اكتشاف البرمجية وإزالتها أمرًا بالغ الصعوبة.
يتولى سكربت PowerShell مهام متعددة، منها إضافة عمليات PowerShell و conhost إلى قائمة استثناءات Defender. كما يقوم بتخزين سكربت مشفر في سجل النظام ويسجل مهمة مجدولة تعمل عند كل تسجيل دخول للمستخدم.
تسترجع هذه المهمة السكربت المخزن، وتقوم بفك تشفيره، ثم تقوم بسحب الحمولة التالية من خدمات خارجية مثل Pastebin. بعد عملية تنزيل نهائية من GitHub، تبدأ ClipBanker في مراقبة حافظة الجهاز.
للحماية من هذه التهديدات، ينصح الخبراء الأمنيون بتنزيل البرامج فقط من مصادرها الرسمية والموثوقة. كما أن استخدام برامج أمنية محدثة وفعالة هو أمر ضروري لوقف الهجمات قبل وقوع أضرار.