هل يمكن لأداة بسيطة في ويندوز أن تتحول إلى غطاء لاختراق جهازك وتشغيل تعدين للعملات الرقمية دون علمك؟ الإجابة المؤسفة: نعم. تم رصد برمجية خبيثة متقدمة تستخدم Character Map كغطاء لتشغيل عمليات تعدين خفية وتفادي اكتشاف Windows Defender.
.webp "اكتشاف برمجية خبيثة تستغل Character Map في ويندوز للتعدين")
موجز سريع — ما الذي يحدث؟
الهجوم يبدأ بسكربت PowerShell مخفي يقوم بتنزيل Loader مكتوب بلغة AutoIt. الـ Loader يعمل في الذاكرة دون كتابة ملفات على القرص ثم يحقن نفسه داخل charmap.exe لتشغيل NBMiner خفيًا.
كيف يبدأ الهجوم بالتفصيل
المرحلة الأولى تعتمد على سكربت PowerShell مخفي يُحمَّل غالبًا من ملف مضمن أو رابط خبيث. السكربت لا يقوم بعمليات مرئية، بل ينزل Loader صغير بلغة AutoIt.
الـ Loader لا يكتب ملفًا على القرص. بدلاً من ذلك يمر بمرحلة حقن في الذاكرة (in-memory injection) ويستنشق العملية الشرعية charmap.exe، ثم يستغلها لتشغيل الشيفرة الخبيثة دون إثارة الشبهات.
لماذا استخدام charmap.exe؟
charmap.exe هو برنامج رسمي من مايكروسوفت لعرض رموز الحروف. تشغيل الشيفرة داخل عملية نظام شرعية يزيد من صعوبة اكتشاف النشاط الخبيث عبر أدوات الحماية التقليدية.
ما الذي يفعله المهاجم بعد السيطرة
- تشغيل برنامج تعدين مثل NBMiner داخل بيئة النظام.
- الاتصال بمسابح تعدين محددة مثال: monerooceans.stream و asia.ravenminer.com:3838.
- إخفاء الشيفرة عبر تشفير Base64 مع طبقة XOR لتفادي قواعد التوقيع.
- محاولات لتجاوز UAC ورفع الصلاحيات عند الحاجة.
الآثار على المستخدم
الأجهزة المصابة تظهر عليها علامات واضحة رغم إخفاء النشاط:
- استهلاك مرتفع للمعالج والذاكرة مما يؤدي إلى تباطؤ النظام.
- ارتفاع حرارة الجهاز ومروحة تعمل باستمرار.
- زيادة فاتورة الكهرباء عند استخدام أجهزة لوقت طويل.
- في حالات متقدمة قد يستخدم المهاجم موارد الجهاز لعمليات إضافية أو كجزء من شبكة بوت نت.
تقنيات التهرب المستخدمة
البرمجية تعتمد على مزيج من تقنيات الإخفاء والكسر لتقليل احتمالات الاكتشاف:
- تشفير الشيفرة عبر Base64 ثم XOR لتغيير البصمة.
- التشغيل داخل الذاكرة بدون ملف دائم على القرص (fileless).
- استغلال عملية نظام رسمية كغطاء.
- التواصل مع مسابح تعدين معروفة ومنافذ مخصصة.
كيف تكشف الإصابة بنفسك
لا تعتمد فقط على رسالة من مضاد فيروسات؛ راقب السلوك:
- افتح إدارة المهام وتحقق من أي عملية تستخدم CPU أو GPU بمعدلات عالية دون سبب واضح.
- تحقق من الاتصالات الصادرة في جدار الحماية أو عبر netstat لرؤية عناوين خارجية مشبوهة.
- افحص العمليات الجارية داخل charmap.exe أو أي عملية نظام أخرى إذا لاحظت نشاطًا غير طبيعي.
- شغّل فحصًا سلوكيًا وذاكرة باستخدام أدوات مكافحة البرمجيات الخبيثة المتقدمة.
إجراءات وقائية فعّالة
باتباع خطوات بسيطة يمكن تقليل الاحتمال بشكل كبير:
- تحديث نظام التشغيل والبرامج بانتظام لسد الثغرات.
- عدم تشغيل سكربتات PowerShell أو ملفات مجهولة المصدر.
- استخدام حلول أمان تدعم الكشف السلوكي وملفات الذاكرة.
- تفعيل الحد الأدنى من صلاحيات المستخدم وتجنب العمل كمستخدم مسؤول بشكل دائم.
- تقييد الاتصالات الصادرة عبر جدار حماية وقيود الشبكة للشبكات المؤسسية.
ماذا تفعل إذا اشتبهت بالإصابة
اتبع هذه الخطوات بشكل فوري:
- افصل الجهاز من الشبكة لتعطيل الاتصالات بالمهاجم.
- أوقف العمليات المشبوهة إذا أمكن ثم خذ صورة للذاكرة للفحص.
- شغّل فحص ذاكرة وباستخدام أدوات متقدمة أو اطلب مساعدة فني أمن معلومات.
- إن لم تتمكن من التأكد، افصل الجهاز وأعد تثبيت النظام بعد نسخ البيانات المهمة بشكل حذر.
هل برامج الحماية التقليدية كافية؟
برامج الحماية التقليدية مهمة لكنها لم تعد كافية بمفردها. الهجمات التي تعتمد على التشغيل داخل الذاكرة واستخدام عمليات نظام شرعية تتطلب حلولًا تدعم التحليل السلوكي ومراقبة الذاكرة والشبكة.
خلاصة ونهاية
استخدام أدوات النظام كغطاء للاختراق يرفع من تعقيد الدفاعات، لكن الوعي والتحديث ومراقبة السلوك توفر خطوط دفاع قوية. راقب جهازك، لا تفتح ملفات مشبوهة، وحدث حلول الحماية دائماً.
هل لديك أسئلة أو تود نشر موضوع مماثل في مدونتك؟ شاركنا تعليقك أو اطلب نسخة مُعدَّلة جاهزة للنشر.
