كشفت تقارير حديثة عن استغلال مجموعات قرصنة لثغرة خطيرة في برنامج وينرار (WinRAR) بهدف سرقة البيانات الحساسة، وذلك رغم إطلاق تحديث أمني لها.
كيف تم استغلال ثغرة وينرار (WinRAR) الأمنية؟
تستمر حملات الهجمات السيبرانية، التي تقودها مجموعات منظمة، في استغلال ثغرة أمنية في برنامج فك الضغط الشهير WinRAR. تهدف هذه الهجمات إلى اختراق المؤسسات والشركات، على الرغم من مرور قرابة عام على إصدار التصحيحات الأمنية اللازمة.
وحسب تقرير نشره موقع تيكبامين، فإن هذا النشاط الخبيث يُنسب إلى مجموعات متقدمة تعتمد على استغلال الثغرة المعروفة باسم CVE-2025-8088. تتيح هذه الثغرة للمهاجمين كتابة وزرع ملفات خطيرة خارج مجلد الاستخراج المخصص.
- نوع الثغرة: تجاوز مسار المجلدات (Path Traversal).
- التقنية المستخدمة: الاعتماد على تدفقات البيانات البديلة (NTFS ADS).
- حالة التحديث: تم إصدار التحديث الأمني الترقيعي في يوليو 2025.
ما هي أهداف البرمجيات الخبيثة المستخدمة؟
شهدت أساليب القراصنة تطوراً ملحوظاً، حيث تخلت عن استخدام وحدات الماكرو التقليدية في برامج الأوفيس وانتقلت إلى استخدام أرشيفات معدلة بصيغة RAR. تحتوي هذه الملفات على مستند PDF وهمي لخداع الضحية، إلى جانب ثلاث حمولات خفية تبدأ عملية الإصابة الفورية.
يتم وضع ملف اختصار (LNK) في مجلد بدء التشغيل داخل نظام الويندوز ليعمل تلقائياً عند تسجيل دخول المستخدم. يقوم هذا الملف بتشغيل برمجية خبيثة متطورة تُعرف باسم "GIFTEDCROOK" لسرقة المعلومات الحساسة والتجسس.
- سرقة كلمات المرور وملفات تعريف الارتباط (Cookies) من متصفحات كروم، إيدج، وأوبرا.
- استهداف متصفح فايرفوكس لجمع بيانات تسجيل الدخول.
- جمع مستندات وملفات ذات امتدادات محددة من جهاز الضحية.
- حذف جميع الآثار الخبيثة فوراً لتغطية مسار الاختراق بعد نقل البيانات.
تطور أساليب التخفي والتحكم
من أبرز التغييرات التقنية في هذه الهجمات هو الانتقال من استخدام منصة تيليجرام (Telegram) كقناة لنقل البيانات المسروقة، إلى خوادم تحكم وسيطرة (C2) مخصصة. يضمن هذا التعديل استمرار تدفق البيانات المسروقة بشكل سري دون التعرض للحظر أو الرقابة.
ما هي مخاطر إهمال التحديثات الأمنية المستمرة؟
أدمجت مجموعات التجسس هذه الثغرة في ترسانتها الرقمية للحفاظ على وصول طويل الأمد للمؤسسات المخترقة. وتُعرف هذه الكيانات بجهودها الواسعة في التجسس السيبراني على نطاق صناعي وتجاري ضخم.
يوضح فريق خبراء تيكبامين أن استخدام برامج وأنظمة غير محدثة يبقي أبواب الاختراق مشرعة لفترة طويلة جداً حتى بعد صدور الإصلاحات الرسمية. وقد استخدمت المجموعات سلسلة إصابة معقدة تعتمد على تحويل ملفات HTA إلى نصوص VBScript لنشر وحدات التجسس بنجاح كبير.
تؤكد هذه الهجمات المستمرة على الأهمية القصوى لتحديث البرمجيات بشكل دوري. إن الاعتماد على نسخ قديمة من برامج أساسية مثل WinRAR يجعل الأجهزة الشخصية والمؤسسية عرضة لسرقة البيانات بشكل صامت وخطير.
