حملة XMRig خبيثة تستغل ثغرة BYOVD لتعدين العملات

كشف خبراء الأمن السيبراني عن تفاصيل حملة تعدين عملات رقمية جديدة وخطيرة. تستخدم هذه الحملة برمجية XMRig خبيثة لاختراق الأنظمة عبر برامج مقرصنة.

كيف تعمل برمجية XMRig الخبيثة في تعدين العملات؟

تبدأ نقطة الدخول الأساسية لهذه الهجمات المعقدة عبر استخدام أساليب الهندسة الاجتماعية المتقدمة. يتم خداع المستخدمين لتحميل برامج خبيثة متخفية بشكل احترافي في صورة حزم برمجيات مجانية ومقرصنة، مثل تطبيقات الأوفيس وغيرها. وبحسب متابعة تيكبامين لتطورات الأمن الرقمي، فإن هذا الفيروس يعمل كجهاز عصبي مركزي للعدوى داخل النظام.

تتميز هذه البرمجية الخبيثة بتصميم معياري معقد للغاية، حيث تقوم بفصل ميزات المراقبة الأساسية عن المهام الخبيثة الأخرى. وتشمل هذه المهام عمليات تعدين العملات المشفرة، وتصعيد الامتيازات، وضمان البقاء داخل النظام المخترق حتى في حال محاولة إيقافه من قبل المستخدم.

علاوة على ذلك، تُظهر البرمجيات الخبيثة قدرات تشبه الديدان (Wormable)، مما يسمح لها بالانتشار السريع. ويتم هذا الانتشار عبر أجهزة التخزين الخارجية، مما يتيح لها الحركة الجانبية حتى في البيئات المعزولة تماماً عن شبكة الإنترنت.

أبرز أدوار الفيروس داخل النظام المخترق:

• العمل كمثبت متخفي للبرامج الخبيثة الإضافية.
• إدارة الحمولات الخبيثة وتوجيهها بدقة عالية للتهرب من الحماية.
• مراقبة النظام باستمرار وتنظيف آثار عمليات الاختراق لتجنب الاكتشاف.
• الانتشار الذاتي السريع عبر أجهزة التخزين الخارجية مثل ذواكر USB.

ما هي تقنية القنبلة الموقوتة المستخدمة في الهجوم؟

من أخطر ما يميز هذه الحملة الهجومية هو وجود "قنبلة منطقية" مدمجة بإحكام داخل البرمجية الخبيثة. تعمل هذه القنبلة الموقوتة من خلال استرداد وقت النظام المحلي للجهاز المخترق، ثم مقارنته بجدول زمني محدد مسبقاً من قبل قراصنة الإنترنت. وقد تم تحديد الموعد النهائي الدقيق في 23 ديسمبر 2025.

هذا الموعد الزمني الحاسم يشير إلى أن الحملة مصممة للعمل بشكل مستمر ومخفي على الأنظمة المخترقة لفترة طويلة. ويرى المحللون أن هذا التاريخ قد يرتبط بانتهاء صلاحية البنية التحتية لخوادم القيادة والتحكم (C2)، أو توقعات بتغيرات كبرى في سوق العملات الرقمية المشفرة.

كيف تستغل الحملة ثغرة BYOVD لرفع الصلاحيات؟

في مسار العدوى القياسي، يقوم الملف التنفيذي الخبيث بكتابة مكونات وأجزاء مختلفة على القرص الصلب الخاص بالضحية. يتضمن ذلك استخدام خدمة Windows Telemetry المشروعة والخاصة بنظام التشغيل لتحميل ملفات التعدين بشكل جانبي وخفي تماماً. بالإضافة إلى ذلك، يتم إسقاط ملفات لضمان استمرار عمل الفيروس وإيقاف عمل أدوات مكافحة الفيروسات.

يتم تنفيذ برنامج التعدين بصلاحيات مرتفعة جداً باستخدام تعريف شرعي ولكنه معيب يحمل اسم (WinRing0x64.sys). هذه التقنية الخطيرة تُعرف في عالم الأمن السيبراني باسم جلب برنامج التشغيل الضعيف الخاص بك، أو ثغرة BYOVD.

تأثير استغلال الثغرة على أداء النظام:

• التعرض المباشر لثغرة CVE-2020-14979 الخطيرة لرفع الصلاحيات وصلاحيات المسؤول.
• منح المهاجمين تحكم أكبر وأعمق في التكوين منخفض المستوى للمعالج المركزي (CPU).
• زيادة أداء وسرعة التعدين (RandomX hashrate) بنسبة كبيرة تتراوح بين 15% و 50%.
• استهلاك موارد الجهاز بشكل مكثف وعنيف مما يؤدي إلى عدم استقرار النظام بالكامل.

في الختام، تؤكد منصة تيكبامين مرة أخرى على الأهمية القصوى لتجنب تحميل البرامج المقرصنة أو غير الموثوقة من مصادر مجهولة. حيث تعتبر هذه الملفات العشوائية هي البوابة الرئيسية والمفضلة لدخول برمجيات XMRig وغيرها من التهديدات المعقدة، والتي تؤدي في النهاية إلى تدمير أداء الأجهزة وسرقة مواردها الحاسوبية بالكامل.