حملة تصيد إلكتروني باستخدام ملفات WhatsApp تُسلح برمجيات خبيثة من نوع VBS تسيطر على الأجهزة بصمت

تحذير خطير من Microsoft يكشف عن حملة برمجيات خبيثة متعددة المراحل تستخدم تطبيق WhatsApp لتوصيل ملفات Visual Basic Script (VBS) والاستفادة من ثقة المستخدمين في منصات المراسلة الشهيرة. هذه الحملة تستهدف استغلال ثقة المستخدمين، حيث ترسل الملفات التي تظهر كأنها عادية، لكن عند فتحها، تبدأ عملية تثبيت خفية تمنح المهاجمين السيطرة الكاملة على النظام دون أن يلاحظ المستخدم.

كيف يعمل الهجوم؟

عملية الاختراق والصمت

عند تشغيل ملف VBS، يتم إنشاء مجلدات مخفية تحت مسار C:\ProgramData، وتُلقى فيه أدوات نظام مُعَاد تسميتها بشكل خبيث، مثل:

• curl.exe المُعاد تسميته إلى netapi.dll
• bitsadmin.exe المُعاد تسميته إلى sc.exe

وبهذه الطريقة، تندمج الأدوات مع العمليات العادية، مما يصعب اكتشافها من قبل برامج الحماية، رغم أن البيانات الأصلية للأدوات تبقى قابلة للكشف.

التمويه والتشغيل التلقائي

يقوم البرمجيات الخبيثة بتعديل إعدادات النظام لتمكين التشغيل التلقائي بعد كل إعادة تشغيل، مما يضمن استمراريتها حتى لو حاول المستخدم حذفها. كما يتم استغلال تقنيات الهندسة الاجتماعية وأساليب “العيش على الأراضي” (Living off the Land) لزيادة احتمالية نجاح الهجمات دون إثارة انتباه فرق الأمان.

استغلال السحابة والتخفي

بعد الإصابة الأولية، تتصل البرمجيات الخبيثة بخدمات سحابية موثوقة مثل:

• Amazon S3
• Tencent Cloud
• Backblaze B2

حيث تُرسل حمولات ثانوية مخفية باسم ملفات مثل auxs.vbs وWinUpdate_KB5034231.vbs، مستخدمة بنية تحتية سحابية موثوقة لإخفاء downloads الضارة، مع تزييف حركة الشبكة وجعلها تبدو كأنها حركة طبيعية.

التعديلات على النظام

يقوم البرمجيات الخبيثة بتعديل إعدادات User Account Control (UAC)، بهدف تقليل التنبيهات، ومحاولة تشغيل cmd.exe بامتيازات عالية بشكل متكرر حتى تنجح. وفي المرحلة النهائية، ينشر المهاجمون ملفات MSI خبيثة مثل:

• Setup.msi
• WinRAR.msi
• LinkPoint.msi
• AnyDesk.msi

هذه الملفات تتيح لهم الوصول الدائم عن بعد، وتسهيل سرقة البيانات، ونشر برمجيات خبيثة إضافية، أو دمج الأجهزة المصابة في شبكات البوتنت.

نصائح وتحذيرات

• رصد التعديلات المتكررة على إعدادات UAC وسجلات النظام يُعد من المؤشرات المهمة على وجود اختراق.
• ينبغي على المؤسسات تقييد تنفيذ برامج السكربت، ومراقبة الأدوات النظامية المُعادة تسميتها، وتوعية المستخدمين بأساليب الهندسة الاجتماعية.
• الاعتماد على أدوات الحماية السحابية، وتفعيل حماية التلاعب، وأدوات الكشف والاستجابة على نقاط النهاية، ضروري جدًا.
• يُنصح بمراقبة حركة البيانات عبر السحابة عن كثب، حيث قد يصعب على طرق الكشف التقليدية تمييز هذه العمليات عن النشاط الطبيعي للمؤسسة.
• يمكن لأدوات الذكاء الاصطناعي المساعدة في تحليل السلوك المشبوه، ورصد الاتصالات غير الاعتيادية أو المرفقات الضارة على واتساب.

الخلاصة

عدم الحذر يمكن أن يؤدي إلى فقدان دائم للبيانات، حيث يمنح المهاجمون السيطرة الكاملة على الأجهزة والوصول للمعلومات الحساسة. تؤكد Microsoft أن مجرد نقرة واحدة غير مدروسة قد تسمح للبرمجيات الخبيثة بتجاوز الحماية التقليدية، مما يزيد من أهمية اليقظة المستمرة والتحديثات الأمنية.

ابق على اطلاع بأحدث الأخبار الأمنية من خلال متابعة TechRadar، ولا تنسَ تفعيل إشعارات الأخبار والتحذيرات لحماية بياناتك ومؤسستك من التهديدات الرقمية المتطورة.