أطلقت شركة مايكروسوفت تحذيراً عاجلاً بشأن حملة برمجيات خبيثة جديدة تستغل تطبيق واتساب لاختراق أنظمة ويندوز وتجاوز إعدادات الأمان. تستخدم هذه الحملة المعقدة نصوصاً برمجية خبيثة من نوع (VBS) للسيطرة على الأجهزة عن بُعد وبناء سلسلة هجومية متعددة المراحل.
كيف تتم عملية الاختراق عبر واتساب؟
تبدأ السلسلة الهجومية، التي رُصدت أواخر شهر فبراير من عام 2026، عندما يتلقى الضحية ملفات (VBS) خبيثة عبر رسائل تطبيق واتساب. حتى الآن، لم يتم تحديد نوع الحيل الاجتماعية التي يستخدمها القراصنة لخداع الضحايا وجعلهم يقومون بتشغيل هذه الملفات. بمجرد تنفيذ السكريبت، يبدأ الهجوم الصامت الذي يهدف إلى اختراق دفاعات النظام.
تقوم البرمجية الخبيثة فور تشغيلها بإنشاء مجلدات مخفية داخل مسار (C:\ProgramData) في نظام تشغيل ويندوز. هذه الخطوة الأولى تهدف إلى توفير بيئة عمل آمنة للمخترقين بعيداً عن أعين برامج مكافحة الفيروسات التقليدية التي قد تفحص الملفات الظاهرة فقط.
استغلال أدوات النظام المشروعة للتخفي
تعتمد هذه الحملة بشكل أساسي على تقنيات التخفي وتوظيف موارد النظام المتاحة لتجنب الاكتشاف المبكر. يقوم المهاجمون بإعادة تسمية أدوات ويندوز الرسمية واستخدامها لأغراض خبيثة. وتشمل هذه التكتيكات المعقدة ما يلي:
- استخدام أداة curl.exe المدمجة في النظام بعد تغيير اسمها إلى (netapi.dll).
- استغلال أداة bitsadmin.exe المسؤولة عن التحميل، تحت اسم (sc.exe).
- الاعتماد على خدمات سحابية عالمية وموثوقة مثل AWS، و Tencent Cloud، و Backblaze B2 لتنزيل الحمولات الخبيثة.
إن استخدام منصات موثوقة وأدوات شرعية يمثل مزيجاً مميتاً، حيث يسمح للجهات الفاعلة بالاندماج مع نشاط الشبكة الطبيعي وزيادة احتمالات نجاح هجماتهم بشكل كبير وتجنب أنظمة المراقبة.
ما هي خطورة البرمجيات الخبيثة على ويندوز؟
وفقاً لمتابعة خبراء موقع تيكبامين، تكمن الخطورة الحقيقية في قدرة هذه البرمجيات على تجاوز ضوابط حساب المستخدم (UAC) في نظام ويندوز. يتيح هذا التجاوز للمهاجمين إضعاف دفاعات النظام بشكل كامل، والعمل بصلاحيات إدارية عالية دون الحاجة لتفاعل إضافي من الضحية.
بمجرد اختراق النظام والحصول على موطئ قدم أولي، يقوم القراصنة بتنفيذ عدة خطوات خطيرة لضمان بقائهم وتوسيع سيطرتهم:
- المحاولة المستمرة لتشغيل موجه الأوامر (cmd.exe) بصلاحيات مسؤولي النظام حتى تنجح العملية.
- التلاعب المستمر بإعدادات سجل النظام (Registry) لترسيخ الاختراق بشكل أعمق.
- تثبيت حزم (MSI) خبيثة وملفات إضافية دون علم المستخدم لضمان استمرار الاتصال.
- نشر أدوات تحكم عن بُعد مشروعة، مثل برنامج AnyDesk، لسرقة البيانات أو نشر المزيد من الفيروسات.
- زرع آليات معقدة تضمن بقاء الفيروس ونشاطه حتى بعد إيقاف تشغيل الجهاز وإعادة تشغيله.
كيف تحمي جهازك من هجمات واتساب المتقدمة؟
يُظهر هذا الهجوم تطوراً ملحوظاً ومرعباً في دمج أساليب الهندسة الاجتماعية مع التقنيات المخفية. إن الاعتماد على تطبيق مراسلة شهير مثل واتساب لاستهداف أنظمة حواسيب كاملة يتطلب وعياً أمنياً متزايداً من قبل المستخدمين والمؤسسات على حد سواء لمواجهة هذا النوع من التهديدات.
كما يؤكد تيكبامين باستمرار، يجب اتخاذ خطوات استباقية صارمة لحماية الأجهزة والبيانات الشخصية. ولتعزيز الأمان الرقمي ومنع اختراق نظام ويندوز، يُنصح بالالتزام بالتدابير الآتية:
- تجنب فتح أو تنزيل أي نصوص برمجية أو ملفات تنفيذية مرسلة عبر واتساب، خاصة من جهات اتصال غير معروفة.
- التأكد من تحديث نظام تشغيل ويندوز وبرامج مكافحة الفيروسات بشكل دوري لسد الثغرات الأمنية المكتشفة.
- عدم منح صلاحيات المسؤول للتطبيقات غير الموثوقة، ومراقبة إشعارات ضوابط حساب المستخدم (UAC) بعناية شديدة.
