ذاتية التكاثر وتنتشر تلقائياً عبر الشبكات المحلية وتختطف المحفظة فوراً
«كريبتوورم»... برمجية سيبرانية خبيثة تستهدف العملات الرقمية
كشفت شركة «مايكروسوفت» (Microsoft) الأميركية النقاب أخيراً عن برمجية خبيثة جديدة تحمل اسم «كريبتوورم» (CryptoWorm)، ووصفتها بأنها تهديد سيبراني متقدم يجمع بين خاصية الانتشار الذاتي عبر الشبكات المحلية والقدرة على سرقة أصول العملات الرقمية من خلال تقنية متطورة لاختطاف الحافظة.
وأفاد تقرير فني صادر عن فريق الاستخبارات الأمنية في «مايكروسوفت» بأن الحملة، التي رُصدت للمرة الأولى في 12 يونيو 2026، استهدفت مستخدمي نظام التشغيل «ويندوز» من الإصدار 10 فما فوق، وتمكنت من إصابة أكثر من 28 ألف جهاز في 94 دولة خلال الأيام الستة الأولى من رصدها.
وأوضح التقرير، الذي جاء في 18 صفحة وتضمن تحليلاً تقنياً معمقاً، أن «كريبتوورم» تعتمد على 3 آليات متكاملة للهجوم، هي: الانتشار التلقائي، سرقة المفاتيح الخاصة، واختطاف معاملات التحويل.
وتتميز هذه البرمجية عن سابقاتها بقدرتها على إعادة توجيه طلبات الدفع بالعملات المشفرة في الزمن الفعلي، حيث تستبدل عناوين المحافظ المستقبلة بعناوين يتحكم بها المهاجمون في اللحظة التي يؤكد فيها المستخدم عملية التحويل، من دون أن يظهر أي تغيير على الشاشة.
وفي التفاصيل التقنية، وجد الباحثون أن «كريبتوورم» تستغل ثغرة أمنية مصنفة بالحرجة تحمل الرمز «CVE-2026-4412» في بروتوكول «SMB»، وهو البروتوكول المسؤول عن مشاركة الملفات والطابعات بين الأجهزة في الشبكات المحلية.
وتسمح هذه الثغرة، التي حصلت على درجة 9.8 من 10 في نظام التسجيل المشترك لنقاط الضعف (CVSS)، للمهاجم بتنفيذ أوامر برمجية عن بُعد من دون حاجة إلى تفاعل من المستخدم أو كلمة مرور، ما يعني أن جهازاً واحداً مصاباً يمكنه إصابة جميع الأجهزة المتصلة بالشبكة المحلية نفسها خلال دقائق.
وتضمن التقرير الفني عرضاً تحليلياً لسلسلة الهجوم الكاملة على النحو الآتي:
• المرحلة الأولى ـ الدخول الأولي: تستغل البرمجية ثغرة «CVE-2026-4412» في بروتوكول «SMBv3» لتنفيذ أمر «PowerShell» خبيث يحمّل الحمولة الرئيسة من خادم قيادة وتحكم خارجي.
• المرحلة الثانية ـ الانتشار: بعد تثبيت نفسها على الجهاز المخترق الأول، تقوم «كريبتوورم» بمسح الشبكة المحلية بحثاً عن أجهزة أخرى تحمل الثغرة ذاتها وتنسخ نفسها إليها تلقائياً، محققة انتشاراً أفقياً كاملاً من دون تدخل بشري.
• المرحلة الثالثة ـ سرقة المفاتيح: تفحص البرمجية ذاكرة النظام بحثاً عن المفاتيح الخاصة لمحافظ العملات المشفرة المخزنة في تطبيقات شائعة مثل «ميتاماسك» و«ترست والت» و«إلكتروم»، إضافة إلى ملحقات المتصفحات، وتقوم بتشفيرها وإرسالها إلى خادم القيادة والتحكم.
• المرحلة الرابعة ـ اختطاف الحافظة: تنصب البرمجية خطافاً (Hook) على مستوى نواة نظام التشغيل يراقب محتوى الحافظة بصورة دائمة، وعند اكتشاف عنوان محفظة مشفرة (يتطابق مع تعبير نمطي لأشكال عناوين «بيتكوين» و«إيثريوم» و«سولانا»)، تستبدله بعنوان المهاجم في زمن استجابة يقل عن 50 ميلي ثانية، ما يحول دون ملاحظة المستخدم.
• المرحلة الخامسة ـ التخفي والاستدامة: تحقن البرمجية شيفرتها داخل عمليات نظام «ويندوز» الشرعية مثل «explorer.exe» و«svchost.exe»، وتقوم بتعطيل خدمات «ويندوز ديفندر» (Windows Defender) مؤقتاً، وتُنشئ مهمة مجدولة (Scheduled Task) تعيد تنشيطها عند كل إقلاع للنظام.
وعن طبيعة الاستهداف، أوضح التقرير أن برمجية «كريبتوورم» تركز على 5 محافظ رئيسة، وهي: «بيتكوين» (Bitcoin)، و«إيثريوم» (Ethereum)، و«سولانا» (Solana)، و«بوليغون» (Polygon)، و«أفالانش» (Avalanche). وقدر باحثو «مايكروسوفت» أن المهاجمين تمكنوا من الاستيلاء على ما لا يقل عن 4.7 مليون دولار من العملات المشفرة خلال الأسبوع الأول من الهجوم، مرجحين أن الرقم الفعلي قد يكون أعلى بكثير نظراً لصعوبة تتبع المعاملات المسروقة عبر الخلاطات (Mixers) وخدمات إخفاء الهوية.
وفي تعليق مقتضب، قال ديفيد ويستون، نائب رئيس أمن المؤسسات وأنظمة التشغيل في «مايكروسوفت»: «ما يجعل كريبتوورم خطيرة بصورة استثنائية هو اقتران الانتشار الذاتي باختطاف المعاملات في الزمن الفعلي، وهو مزيج لم نشهده من قبل في برمجية خبيثة واحدة».
وأضاف أن الشركة أصدرت تحديثاً أمنياً طارئاً خارج النطاق المعتاد في 18 يونيو 2026 لمعالجة الثغرة المستغلة، داعياً جميع المستخدمين إلى تثبيته فوراً مع تفعيل التحديثات التلقائية.
وصاحب التقرير الفني 6 توصيات أمنية عاجلة للمستخدمين والمؤسسات هي:
• تثبيت التحديث الأمني «KB5030214» الصادر عن «مايكروسوفت» في 18 يونيو 2026 فوراً من دون تأخير.
• تعطيل بروتوكول «SMBv1» تماماً على جميع الأجهزة، وتعطيل «SMBv3» على الأجهزة غير المستخدمة في بيئات تشارك الملفات.
• استخدام محافظ الأجهزة الباردة (Hardware Wallets) للتخزين طويل الأجل للمبالغ الكبيرة، لأنها تعزل المفاتيح الخاصة عن ذاكرة النظام.
• تفعيل المصادقة متعددة العوامل (MFA) على جميع منصات تداول العملات المشفرة من دون استثناء.
• مراجعة إعدادات جدار الحماية لسد المنافذ 445 و139 المستخدمة في بروتوكول «SMB».
• تشغيل فحص كامل للنظام باستخدام «مايكروسوفت ديفندر» بعد تثبيت التحديث للتأكد من خلو الجهاز من أي إصابة سابقة.
وفي سياق متصل، نقل التقرير عن باحثين مستقلين في شركة «كاسبرسكي» (Kaspersky) وشركة «إسيت» (ESET) تأكيدهم أن البنية التحتية للهجوم لا تزال نشطة، وأنهم رصدوا 3 متغيرات جديدة من «كريبتوورم» في الأيام التي تلت إصدار التحديث، مما يشير إلى أن المجموعة التي تقف وراءها تواصل تطوير البرمجية بوتيرة شبه يومية لتجاوز آليات الكشف المحدثة.
ورجح المحللون أن تكون المجموعة، التي لم تُنسب بعد إلى أي جهة فاعلة معروفة في مجال التهديدات السيبرانية، ناطقة بالروسية استناداً إلى تحليل التعليقات البرمجية وسجلات خادم القيادة والتحكم.
وتكتسب هذه الحادثة أهمية خاصة في ضوء النمو القياسي الذي شهده سوق العملات المشفرة خلال النصف الأول من العام 2026، حيث تجاوزت القيمة السوقية الإجمالية 4.2 تريليون دولار، وارتفع عدد المحافظ النشطة إلى 520 مليون محفظة.
وفي هذا السياق، حذّر المحلل الأمني «ميكو هيبونن»، كبير مسؤولي الأبحاث في شركة «ويث سيكيور» (WithSecure)، من أن «المستثمرين الأفراد لا يزالون الحلقة الأضعف في سلسلة أمن العملات المشفرة»، مشيراً إلى أن 73 في المئة من حوادث السرقة المسجلة في الربع الأول من العام 2026 استهدفت محافظ البرمجيات (Hot Wallets) مقارنة بـ 8 في المئة فقط استهدفت المحافظ الباردة.
وخلص التقرير إلى أن برمجية «كريبتوورم» الخبيثة تمثل نقلة نوعية في مشهد التهديدات السيبرانية التي تستهدف الأصول الرقمية، ليس فقط بسبب مستوى تطورها التقني، بل لكونها أول برمجية خبيثة تجمع بين 3 قدرات كانت منفصلة حتى الآن في تهديد واحد: الانتشار الذاتي، وسرقة المفاتيح، واختطاف المعاملات في الزمن الفعلي.
ويُتوقع أن تشكل هذه البرمجية نموذجاً يحتذى به لموجات لاحقة من الهجمات، ما يستدعي استجابة منسقة من مطوري أنظمة التشغيل ومنصات التداول ومصنعي محافظ الأجهزة على حد سواء.
