انتشرت حملة برمجية خبيثة تستخدم تطبيق واتساب لتوصيل ملفات في بي إس (VBS) بطريقة سرية، معتمدة على الثقة التي يمنحها المستخدمون لهذه المنصة الشائعة. تكشف شركة مايكروسوفت عن أن المهاجمين يرسلون ملفات تبدو غير ضارة عبر واتساب، وعند فتحها، يتم تثبيتها بشكل خفي على النظام، مما يمنح المتسللين السيطرة الكاملة على الأجهزة المصابة.
كيفية عمل الهجوم الخبيث
بعد تشغيل الملف، تنشئ البرمجية الضارة مجلدات مخفية ضمن مسار C:\ProgramData، وتقوم بإسقاط نسخ معدلة من أدوات ويندوز الأصلية، مثل curl.exe الذي يُعاد تسميته إلى netapi.dll، وbitsadmin.exe الذي يُعاد تسميته إلى sc.exe. باستخدام هذه الأدوات المموهة داخل مسارات النظام العادية، ينجح المهاجمون في إخفاء أنشطتهم، بينما لا تزال برامج الحماية قادرة على اكتشاف بعض البيانات الأصلية لهذه الأدوات.
علاوة على ذلك، تقوم البرمجية الخبيثة بتعديل إعدادات النظام لتمكين التشغيل التلقائي بعد كل إعادة تشغيل، مما يضمن بقاء التهديد فعالًا حتى بعد محاولة المستخدمين إزالته.
استخدام خدمات الحوسبة السحابية لتجنب الكشف
يتم بعد ذلك تحميل حمولة ثانوية من مصادر موثوقة في السحابة، مثل خدمات AWS S3، Tencent Cloud، وBackblaze B2. تُخفي هذه التحميلات الخبيثة على أنها حركة مرور شبكة طبيعية، حيث تُستخدم ملفات auxs.vbs وWinUpdate_KB5034231.vbs، مما يصعب على أنظمة الأمان اكتشافها.
كما يقوم البرنامج الخبيث بتعديل إعدادات التحكم في حساب المستخدم (UAC) بهدف تعطيل التنبيهات، ويكرر محاولة تشغيل cmd.exe بامتيازات عالية حتى ينجح، مما يمنحه إمكانية تنفيذ أوامر متقدمة على الأجهزة المصابة.
مرحلة التسلل النهائية وتثبيت البرمجيات الضارة
وفي المرحلة الأخيرة، يُنشر على الأجهزة المصابة ملفات MSI خبيثة، مثل Setup.msi، وWinRAR.msi، وLinkPoint.msi، وAnyDesk.msi. هذه الملفات غير الموقعة تسمح للمهاجمين بالوصول المستمر إلى النظام عن بُعد، وتسهّل سرقة البيانات، أو نشر برمجيات خبيثة إضافية، أو دمج الأجهزة المصابة ضمن شبكات البوت نت.
نصائح للحماية والتصدي للتهديدات
توصي مايكروسوفت بمراقبة أي تغييرات متكررة في إعدادات UAC وتحقيقات السجل (Registry)، إذ تعتبر من أبرز علامات الاختراق. كما يُنصح بمنع تنفيذ سكربتات التشغيل، ورصد عمليات إعادة تسمية أدوات النظام، وتوعية المستخدمين بأساليب الهندسة الاجتماعية.
وتؤكد الشركة على أهمية استخدام أدوات الحماية السحابية، وتفعيل وضع الحماية ضد التلاعب، وأنظمة الكشف والاستجابة للأجهزة النهائية، خاصة وأن الطرق التقليدية قد لا تكون كافية لتمييز الأنشطة المشبوهة.
كما يُعد مراقبة حركة المرور عبر السحابة أمرًا حاسمًا، حيث يتم استغلالها لتفادي الكشف. يمكن لأدوات الذكاء الاصطناعي تحليل سلوكيات المستخدمين والتعرف على الأنشطة غير المعتادة، بما يقلل من خطر فقدان البيانات بشكل دائم.
ختامًا
تحذر مايكروسوفت من أن حتى نقرة واحدة غير مدروسة على ملف واتساب قد تسمح للبرمجية الخبيثة بتجاوز الحماية التقليدية، مما يمنح المهاجمين السيطرة الكاملة على الأجهزة وسرقة المعلومات الحساسة. لذلك، من الضروري توخي الحذر، وتحديث أنظمة الأمن بشكل مستمر، وتدريب المستخدمين على أساليب الاحتيال الشائعة.