ویروس تغییر آدرس کیف پول (Clipboard Hijacker): وقتی کپی می‌کنید، هکر پیست می‌کند! 2026

ویروس تغییر آدرس کیف پول چیست و چگونه عمل می‌کند؟

برای درک عمق فاجعه، باید بدانیم در پشت پرده سیستم عامل چه می‌گذرد. کلیپ‌برد (Clipboard) یا حافظه موقت، فضایی در رم (RAM) دستگاه شماست که وقتی متنی را کپی می‌کنید، در آنجا ذخیره می‌شود تا زمانی که آن را در جای دیگری جایگذاری (Paste) کنید.

بدافزار کلیپ برد یا همان Clipboard Hijacker، نوعی تروجان (Trojan) است که برخلاف ویروس‌های قدیمی که سیستم را کند می‌کردند یا فایل‌ها را پاک می‌کردند، کاملاً بی‌صداست. این بدافزار هیچ کاری به عکس‌های شخصی، اسناد ورد یا ایمیل‌های شما ندارد. ماموریت او فقط یک چیز است: نظارت ۲۴ ساعته بر حافظه کلیپ‌برد شما.

مکانیزم REGEX چشم عقاب بدافزار

این بدافزارها از الگوریتم‌های تطبیق الگو یا Regular Expressions (Regex) استفاده می‌کنند. آنها برنامه‌ریزی شده‌اند تا رشته‌های متنی خاصی را شناسایی کنند. برای مثال:

• اگر متنی بین ۲۶ تا ۳۵ کاراکتر باشد و با عدد ۱ یا ۳ یا bc1 شروع شود = آدرس بیت‌کوین است.

• اگر متنی با 0x شروع شود و ۴۲ کاراکتر باشد = آدرس اتریوم، بایننس اسمارت چین یا پالیگان است.

• اگر متنی با T شروع شود = آدرس ترون (Tether TRC20) است.

به محض اینکه شما چنین متنی را کپی کنید، بدافزار متوجه می‌شود که شما قصد انتقال پول دارید. در کسری از میلی‌ثانیه (حتی سریع‌تر از پلک زدن شما)، بدافزار آدرس کپی شده در حافظه رم را پاک کرده و آن را با آدرس کیف پول هکر که در دیتابیس خود دارد، جایگزین می‌کند. وقتی شما دکمه Paste را می‌زنید، آدرس هکر ظاهر می‌شود.

بدافزار کلیپ برد (Clipboard Malware) چرا آدرس کیف پول تغییر میکند؟

شاید با خود بگویید: من زرنگ‌تر از این حرف‌ها هستم، همیشه آدرس را چک می‌کنم. اما هکرها هم بیکار ننشسته‌اند. نسل جدید ویروس تغییر آدرس کیف پول از تکنیک بسیار پیشرفته‌ای به نام Vanity Address Spoofing استفاده می‌کند.

در گذشته، اگر شما آدرس 0x123...abc را کپی می‌کردید، بدافزار آن را با 0x999...xyz عوض می‌کرد. تفاوت آنقدر فاحش بود که با یک نگاه گذرا متوجه می‌شدید. اما اکنون وضعیت فرق کرده است.

دیتابیس میلیونی هکرها

هکرها با استفاده از ابرکامپیوترها، میلیون‌ها آدرس کیف پول برای خودشان تولید می‌کنند. آنها دیتابیسی دارند که شامل هزاران آدرس است که با 0xAB شروع و با 89 تمام می‌شوند، هزاران آدرس دیگر که با 0xCD شروع و با 72 تمام می‌شوند و…

وقتی شما آدرس دوستتان را که 0xAB55......889 است کپی می‌کنید، بدافزار در دیتابیس خود می‌گردد و آدرسی متعلق به هکر را پیدا می‌کند که مثلاً 0xAB91......289 است.

• چند کاراکتر اول (0xAB) یکی است.

• چند کاراکتر آخر (89) هم یکی است.

اگر شما فقط عادت دارید اول و آخر آدرس را چک کنید (که عادت ۹۰٪ تریدرهاست)، در دام می‌افتید. شما آدرس را “درست” می‌بینید، اما در واقع پول را به سیاه‌چاله هکر می‌فرستید.

بدافزار کلیپ برد چگونه وارد سیستم می‌شود؟

یکی از سوالات پرتکرار کاربران این است که چرا آدرس کیف پول تغییر میکند و من چطور آلوده شدم؟ من که سایت‌های غیراخلاقی نرفته‌ام! واقعیت این است که این بدافزارها در پوشش ابزارهای کاربردی و مورد نیاز تریدرها یا گیمرها وارد می‌شوند.

نرم‌افزارهای کرک شده و فعال‌سازها (Crack & KMS)

بزرگترین منبع آلودگی در ایران، استفاده از نرم‌افزارهای کرک شده است. وقتی شما به دنبال دانلود رایگان فتوشاپ، آفیس، یا ترینر (Cheat) بازی‌ها هستید، سایت‌های دانلود معمولاً آنتی‌ویروس را به عنوان “مخل کرک” معرفی می‌کنند و از شما می‌خواهند آن را خاموش کنید. این دقیقاً لحظه ورود بدافزار است. بسیاری از فعال‌سازهای ویندوز (KMS Tools) حاوی اسکریپت‌های مخفی ماینینگ یا کلیپ‌برد هایجکر هستند.

تلگرام و دیسکورد

در گروه‌های سیگنال‌دهی یا ایردراپ، افراد ناشناس فایل‌هایی را با عناوین جذاب ارسال می‌کنند:

• “PDF لیست ارزهای مستعد رشد”

• “نرم‌افزار محاسبه سود مرکب”

• “ربات اسنایپر صرافی پنکیک سواپ”

بسیاری از این فایل‌ها پسوند .scr یا .exe دارند اما آیکون آنها شبیه PDF یا عکس است. به محض اجرا، سیستم آلوده می‌شود.

افزونه‌های مرورگر (Browser Extensions)

این مورد بسیار خطرناک و پنهان است. افزونه‌هایی مثل “دانلودر ویدیو از یوتیوب”، “تغییر تم مرورگر” یا حتی برخی ابزارهای تحلیل چارت که توسط توسعه‌دهندگان ناشناس نوشته شده‌اند. این افزونه‌ها دسترسی “Read and modify data on all websites” (خواندن و تغییر داده‌ها در تمام وب‌سایت‌ها) را دارند. این یعنی می‌توانند هر آدرسی که در مرورگر کپی می‌کنید را ببینند و تغییر دهند.

امنیت گوشی برای ترید تنها راه فرار از ویروس تغییر آدرس کیف پول

در مبحث امنیت گوشی برای ترید، یک اختلاف نظر قدیمی وجود دارد، اما وقتی پای “کلیپ‌برد هایجکر” وسط باشد، موبایل (اندروید و iOS) برنده مطلق است. چرا؟

معماری سندباکس (Sandbox Architecture)

سیستم‌عامل‌های موبایل طوری طراحی شده‌اند که هر برنامه در یک محیط ایزوله (Sandbox) اجرا می‌شود. اپلیکیشن ماشین‌حساب نمی‌تواند بفهمد در واتساپ چه می‌گذرد. دسترسی به کلیپ‌برد در اندرویدهای جدید (نسخه ۱۰ به بالا) و iOS بسیار محدود شده است. اگر برنامه‌ای بخواهد محتوای کپی شده را بخواند، سیستم‌عامل معمولاً به کاربر هشدار می‌دهد (مثل پیامی که در آیفون می‌آید: “Paste from Trust Wallet”).

ولنگاری ویندوز!

در مقابل، سیستم‌عامل ویندوز (به خصوص نسخه‌های قدیمی یا آپدیت نشده) به برنامه‌ها اجازه می‌دهد با آزادی بیشتری به حافظه اشتراکی سیستم دسترسی داشته باشند. نوشتن یک بدافزار کلیپ‌برد برای ویندوز بسیار ساده‌تر از نوشتن آن برای iOS است که لایه‌های امنیتی سخت‌گیرانه‌ای دارد.

بنابراین، اگر یک تریدر حرفه‌ای هستید اما بودجه خرید مک‌بوک یا لپ‌تاپ جداگانه ندارید، استفاده از یک گوشی موبایل جداگانه و تمیز (بدون نصب برنامه‌های متفرقه) برای انجام تراکنش‌ها، امن‌ترین گزینه رایگان برای شماست.

تشخیص بدافزار کلیپ برد و آموزش پاکسازی کامل ویندوز

چطور بفهمیم سیستم ما میزبان ویروس تغییر آدرس کیف پول است؟

تست نوت‌پد (The Notepad Test)

ساده‌ترین راه تشخیص این است:

1. برنامه Notepad (در ویندوز) یا Notes (در گوشی) را باز کنید.

2. یک آدرس کیف پول معتبر (مثلاً آدرس بیت‌کوین خودتان) را کپی کنید.

3. چند بار پشت سر هم در نوت‌پد Paste کنید.

4. اگر حتی یک بار آدرس تغییر کرد، سیستم شما ۱۰۰٪ آلوده است.

سایر علائم برای تشخیص بدافزار کلیپ برد:

• غیرفعال شدن خودکار Windows Defender یا آنتی‌ویروس و روشن نشدن مجدد آن.

• بسته شدن ناگهانی مرورگر هنگام ورود به سایت‌های صرافی (برخی بدافزارها سایت‌های صرافی را بلاک می‌کنند).

• وجود فرآیندهای ناشناس در Task Manager (مثل csrss.exe یا svchost.exe که از پوشه‌ای غیر از System32 اجرا می‌شوند).

راهکار پاکسازی بعد از تشخیص بدافزار کلیپ برد

اگر تست نوت‌پد مثبت شد، لطفاً وحشت نکنید، اما سریع عمل کنید:

1. قطع اینترنت: فوراً کابل شبکه را بکشید یا وای‌فای را خاموش کنید تا بدافزار نتواند کلیدهای خصوصی (Private Keys) احتمالی را سرقت کند.

2. اسکن با ابزارهای تخصصی: آنتی‌ویروس‌های معمولی اغلب این بدافزارها را نادیده می‌گیرند. از Malwarebytes و HitmanPro استفاده کنید.

3. نصب مجدد ویندوز (The Nuclear Option): به عنوان یک متخصص امنیت، صادقانه می‌گویم: اگر سیستم ترید شما آلوده شد، به پاکسازی اعتماد نکنید. بدافزارها می‌توانند “درهای پشتی” (Backdoors) ایجاد کنند که ماه‌ها بعد فعال شوند. بهترین کار، فرمت کامل هارد دیسک و نصب مجدد ویندوز اورجینال است.

۴ راهکار امنیتی برای جلوگیری از تغییر آدرس کیف پول

حتی اگر سیستم شما پاک است، پیشگیری بهتر از درمان (و سکته قلبی!) است. این ۴ قانون را در هر تراکنش رعایت کنید:

 قانون “وسطِ آدرس” (Middle Check)

چک کردن ۴ حرف اول و آخر دیگر منسوخ شده است. هکرها می‌توانند اول و آخر را جعل کنند، اما جعل کردن وسط آدرس از نظر ریاضی و محاسباتی تقریباً غیرممکن است. همیشه ۳ یا ۴ کاراکتر از وسط آدرس را چک کنید.

استفاده از وایت‌لیست (Whitelist)

تمام صرافی‌های معتبر (نوبیتکس، کوکوین، بایننس و…) و کیف‌ پول‌ها قابلیتی به نام “لیست سفید” دارند. شما آدرس کیف پول‌های خودتان را در آن تعریف می‌کنید. بعد از آن، برداشت پول فقط به آن آدرس‌ها امکان‌پذیر است. حتی اگر بدافزار آدرس را تغییر دهد، چون آدرس هکر در لیست سفید نیست، صرافی اجازه برداشت نمی‌دهد.

ارسال تستی (Test Transaction)

اگر می‌خواهید مبلغ سنگینی (مثلاً ۱۰۰۰ تتر) انتقال دهید، هرگز همه را یکجا نفرستید. ابتدا ۵ تتر بفرستید. وقتی مطمئن شدید که به مقصد رسید، بقیه مبلغ را ارسال کنید. بله، کارمزد دو برابر می‌دهید، اما این کارمزد، بیمه‌ی سرمایه شماست.

کیف پول سخت‌افزاری: پایان بازی برای هکرها

اگر از لجر (Ledger) یا ترزور (Trezor) استفاده می‌کنید، شما ضدضربه هستید. چرا؟ چون حتی اگر کامپیوتر ویروسی باشد و آدرس در نرم‌افزار عوض شود، در نهایت شما باید روی دکمه فیزیکی دستگاه سخت‌افزاری کلیک کنید تا تراکنش امضا شود. روی نمایشگر کوچک دستگاه، آدرس واقعی نمایش داده می‌شود. آنجا متوجه مغایرت می‌شوید و تراکنش را لغو می‌کنید. بدافزار نمی‌تواند دکمه فیزیکی روی میز شما را فشار دهد!

کلام آخر: چرا امنیت گوشی برای ترید، تنها راه نجات از بدافزارهاست؟

دنیای ارزهای دیجیتال، غرب وحشی (Wild West) است. اینجا بانک مرکزی وجود ندارد که اگر اشتباه کردید، تراکنش را برگرداند. مسئولیت بانک خودتان بودن، سنگین است. ویروس تغییر آدرس کیف پول واقعی است، هوشمند است و در کمین کوچکترین غفلت شماست.

با رعایت نکات گفته شده (چک کردن وسط آدرس، استفاده از محیط‌های امن موبایلی، و عدم نصب نرم‌افزارهای کرک شده) می‌توانید با خیالی آسوده ترید کنید. فراموش نکنید که طمع برای دانلود یک نرم‌افزار ۵ دلاری به صورت رایگان، می‌تواند به قیمت از دست دادن کل سرمایه زندگی‌تان تمام شود.

و در آخر، برای اینکه از همان قدم اول امنیت خود را تضمین کنید و گرفتار اپلیکیشن‌های جعلی یا دستکاری شده نشوید، پیشنهاد می‌کنیم برای (دانلود نسخه رسمی تراست والت) از سایت kifdl اقدام کنید. این پلتفرم یکی از مراجع معتبر است که فایل‌های اصلی و بررسی شده را در اختیار کاربران قرار می‌دهد تا ریسک نصب بدافزارها به حداقل برسد.