كشف باحثون عن ثغرة في ويندوز Phone Link تستغلها برمجية CloudZ لسرقة رسائل SMS وأكواد التحقق، مما يهدد خصوصية مستخدمي أندرويد وآيفون بشكل مباشر.
كيف يتم استغلال تطبيق ويندوز Phone Link للتجسس؟
أوضح خبراء الأمن الرقمي تفاصيل حملة تجسس جديدة تعتمد على أداة وصول عن بعد تُدعى CloudZ RAT، مدعومة بإضافة برمجية غير موثقة سابقاً تُسمى Pheno. تهدف هذه الأدوات إلى تسهيل سرقة بيانات الاعتماد وكلمات المرور لمرة واحدة OTP التي تصل للمستخدمين عبر هواتفهم.
وفقاً لما تابعه فريق تيكبامين، فإن المثير للدهشة في هذا الهجوم هو قدرته على اختراق الجسر القائم بين الكمبيوتر والهاتف دون الحاجة لزرع برمجيات خبيثة داخل الهاتف نفسه. بدلاً من ذلك، يتم استغلال تطبيق Phone Link الرسمي المدمج في أنظمة ويندوز 10 وويندوز 11 لمراقبة العمليات النشطة واعتراض البيانات الحساسة.
ما هي برمجية CloudZ RAT وكيف تعمل؟
تعمل برمجية CloudZ RAT كحصان طروادة متطور، حيث تستخدم إضافة Pheno للقيام بعمليات استطلاع شاملة داخل بيئة ويندوز. بمجرد التأكد من تفعيل تطبيق Phone Link، تبدأ البرمجية في الوصول إلى قاعدة بيانات SQLite التي يستخدمها البرنامج لتخزين البيانات المتزامنة.
أبرز ميزات برمجية التجسس الجديدة:
- اعتراض رسائل SMS الواردة في الوقت الفعلي.
- سرقة أكواد التحقق الثنائي (2FA) لتجاوز حماية الحسابات.
- مراقبة الإشعارات والمكالمات الواردة للهاتف عبر الكمبيوتر.
- العمل في الخلفية دون إثارة ريبة المستخدم.
كيف تصل البرمجية الخبيثة إلى أجهزة المستخدمين؟
يبدأ الهجوم بسلسلة معقدة تهدف إلى تثبيت ملف تنفيذي مزيف ينتحل صفة تطبيق ConnectWise ScreenConnect. هذا الملف مسؤول عن تحميل وتشغيل برمجية .NET خبيثة، مع استخدام سكربت PowerShell لضمان بقاء البرمجية نشطة حتى بعد إعادة تشغيل الجهاز.
يشير تقرير تيكبامين إلى أن المهاجمين يستخدمون تقنيات متطورة لتجنب الكشف، تشمل:
- إجراء فحص لبيئة الجهاز للتأكد من عدم وجود برامج تحليل أمني.
- تشفير الاتصال مع خادم التحكم (C2) لتبادل الأوامر والبيانات.
- استخدام تعليمات مشفرة بصيغة Base64 لتنفيذ عمليات سحب البيانات.
هل حساباتك البنكية في خطر بسبب هذه الثغرة؟
تكمن الخطورة الكبرى في أن هذه التقنية تلغي الحاجة لاختراق الهاتف الذكي (سواء كان آيفون أو أندرويد) بشكل مباشر. من خلال السيطرة على تطبيق ويندوز الموثوق، يمكن للمهاجمين تجاوز طبقات الأمان الإضافية، والوصول إلى الحسابات البنكية أو المحافظ الرقمية التي تعتمد على رسائل SMS للتحقق من الهوية.
تؤكد التحليلات أن هذه الحملة نشطة منذ مطلع عام 2026، ولم يتم ربطها حتى الآن بمجموعة تخريبية محددة، مما يشير إلى ظهور جيل جديد من الأدوات الموجهة لاستهداف الميزات الرسمية في أنظمة التشغيل وتحويلها إلى ثغرات أمنية.
كيف تحمي نفسك من اختراق ويندوز Phone Link؟
لحماية بياناتك من هذا النوع من الهجمات المتطورة، ينصح الخبراء باتباع الخطوات التالية:
- تجنب تحميل تطبيقات من مصادر غير رسمية أو روابط مشبوهة.
- تحديث نظام ويندوز وتطبيق Phone Link بانتظام لسد الثغرات الأمنية.
- استخدام تطبيقات التحقق (مثل Google Authenticator) بدلاً من رسائل SMS.
- مراقبة المهام المجدولة في ويندوز للتأكد من عدم وجود عمليات غير معروفة.
في الختام، يمثل استغلال ويندوز Phone Link تحولاً خطيراً في أساليب الهجوم الرقمي، حيث يتم تحويل أدوات الإنتاجية الرسمية إلى وسائل للتجسس، مما يتطلب يقظة أمنية مستمرة من المستخدمين.
