مايكروسوفت تحذر من هجوم عبر واتساب يستهدف أجهزة ويندوز باستخدام ملفات VBScript

تنقل نايلة الصليبي في "النشرة الرقمية" تحذير فريق بحوث الأمن في"مايكروسوفت ديفندر" من حملة اختراق إلكترونية عبر رسائل مفخخة في "واتساب"، تستغل أدوات نظام التشغيل"ويندوز" لإخفاء الهجوم وتضليل حلول الأمان وجعل النشاط الخبيث يبدو امتداداً طبيعياً لعمليات النظام الاعتيادية.

"واتساب" بوابةٌ للاختراق... برمجية خبيثة تتسلَّل إلى ويندوز وتكسر حواجزَ الأمان

حذّرت شركة مايكروسوفت من حملة اختراق إلكتروني بدأت أواخر فبراير ٢٠٢٦، تستهدف مستخدمي نظام التشغيل "ويندوز" عبر تطبيق" واتساب"، من خلال ملفات برمجية خبيثة من نسق  Visual Basic Script.

 وبحسب تحليل فريق "مايكروسوفت ديفندر"، يعتمد الهجوم على خداع المستخدم لفتح ملف بسيط، ليبدأ بعدها تسلسل معقد من العمليات التي تمنح المهاجمين صلاحيات كاملة على الجهاز، دون إثارة الشبهات أو ترك آثار واضحة، مستفيدين من أدوات النظام الأصلية وخدمات سحابية موثوقة لإخفاء نشاطهم.

واتساب كنقطة انطلاق للهجوم

يبدأ الهجوم برسالة تبدو عادية عبر" واتساب"، مرفقة بملف يحمل امتداد.vbs ، وبمجرد الضغط عليه وفتحه يبدأ بتشغيل سلسلة من الأوامر البرمجية، دون الحاجة إلى أي تفاعل إضافي من المستخدم.وتوضح "مايكروسوفت" في تحليلها أن "واتساب" يشكل المحرك الرئيسي لهذا الهجوم"، غير أن الخطورة الحقيقية تكمن في كيفية استغلال بيئة "ويندوز" نفسها لإخفاء النشاط الخبيث.

استغلال أدوات ويندوز لإخفاء الهجوم

عند تشغيل الملف الخبيث، يُنشئ البرنامج  فورًا مجلدات مخفية داخل المسار "C:\ProgramData"، ثم ينسخ أدوات نظام أصلية ويعيد تسميتها لتفادي الاكتشاف. فعلى سبيل المثال، يغير اسم أداة curl.exe إلى “netapi.dll”، وbitsadmin.exe إلى “sc.exe”.

هذا الأسلوب يهدف تضليل حلول الأمان وجعل النشاط الخبيث يبدو امتداداً طبيعياً لعمليات النظام الاعتيادية.

تجاوز نظام الحماية في ويندوز (UAC)

ينتقل المهاجمون بعد ذلك إلى مرحلة أكثر تعقيداً تستهدف تعزيز السيطرة ورفع مستوى الصلاحيات. وفي هذه المرحلة، تتصل هذه الأدوات بخدمات تخزين في السحاب معروفة مثل Amazon Web Services وTencent Cloud وBackblaze، لتحميل مكونات خبيثة إضافية. وبسبب موثوقية هذه الخدمات، تبدو حركة البيانات طبيعية أمام أنظمة المراقبة.

في المرحلة التالية، تستهدف البرمجيات الخبيثة آلية "التحكم في حساب المستخدم" User Account Control "(UAC)"، وهي من أبرز آليات الحماية المدمجة في نظام التشغيل" ويندوز". وذلك عبر تعديل قيمة في سجل النظام تُعرف باسم" ConsentPromptBehaviorAdmin"، ما يؤدي إلى تعطيل التنبيهات الأمنية.

بعدها، تقوم البرمجية الخبيثة بإعادة تشغيل موجه الأوامر"cmd.exe" بشكل متكرر إلى أن يحصل على صلاحيات المسؤول، وهو ما يفتح المجال أمام تنفيذ عمليات أكثر خطورة.

تثبيت أدوات للوصول الدائم والسيطرة الكاملة

بمجرد الحصول على هذه الصلاحيات، يقوم المهاجمون بتثبيت حزم  "Microsoft Installer" برمجية غير موقّعة، من بينها أداة التحكم عن بُعد "AnyDesk"، بالإضافة إلى برامج مثل "WinRAR" وأدوات أخرى.وتمنح هذه البرامج المهاجمين قدرة مستمرة على الوصول إلى الجهاز، بما يشمل سرقة البيانات، أو تثبيت برمجيات إضافية، أو حتى استخدام الجهاز كنقطة انطلاق لهجمات أخرى كتحويل جهاز الكمبيوتر إلى جهاز" زومبي" ضمن شبكة من الأجهزة الملوثة.

توصيات مايكروسوفت للحماية

تشير "مايكروسوفت" إلى نقطة تقنية مهمة، تتمثل في أن كل ملف تنفيذي في نظام التشغيل " ويندوز" يحتوي على حقل بيانات يسمى " OriginalFileName "، وهو الاسم الأصلي للملف عند إنشائه. ورغم تغيير اسم الملف الظاهري، يبقى هذا الحقل دون تعديل.

وبناءً على ذلك، توصي "مايكروسوفت"، على صفحة الدعم لموقع Microsoft Defender Security Research Team، المؤسسات والمنظمات والأفراد بمجموعة من الحلول الأمنية المتقدمة قادرة على مقارنة الاسم الظاهر مع الاسم الأصلي إضافة إلى تحليل حركة الشبكة لرصد أي نشاط غير طبيعي.

ما يجعل هذا الهجوم استثنائياً!

تكشف هذه الحملة عن تحول نوعي في أساليب الهجمات الإلكترونية، حيث لم يعد المهاجمون يعتمدون فقط على برمجيات خبيثة تقليدية، بل باتوا يوظفون أدوات النظام نفسها وخدمات موثوقة لإخفاء آثارهم. ومع تزايد استخدام تطبيقات المراسلة الفورية كقنوات للهجوم، كواتساب، علينا تعزيز الوعي الأمني، والتعامل مع الملفات المرفقة إن في برامج المحادثة أوالبريد الإلكتروني بحذر شديد.

يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل

للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@  وعلى ماستودون  وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي