حذرت مايكروسوفت من هجمات التصيد عبر ملفات ZIP تستهدف الفنادق منذ أبريل 2026، وتستغل رسائل خادعة لزرع برمجية خبيثة تعتمد على Node.js داخل أجهزة الاستقبال.
ما هي هجمات التصيد الجديدة التي حذرت منها مايكروسوفت؟
تركز الحملة على قطاع الضيافة في أوروبا وآسيا، وبالتحديد الفنادق والمنشآت التي تعتمد على التواصل السريع مع الضيوف. وتبدو الرسائل في ظاهرها مرتبطة بشكاوى نزلاء أو استفسارات حجز أو مراجعات إقامة، ما يزيد احتمالات فتحها من الموظفين.
وبحسب ما رصدته تيكبامين، فإن الرسائل تحمل اسماً يوحي بأنها صادرة من “Booking Manager” عبر منصة مخصصة للإشعارات، بينما تستخدم لغة ضغط تتحدث عن شكاوى عاجلة أو إنذارات نهائية أو تهديدات بفحص صحي.
كيف تصل ملفات ZIP إلى أجهزة الفنادق؟
اللافت في هذه الحملة أن المهاجمين مرروا الرسائل عبر خدمات موثوقة، ثم استخدموا سلسلة تحويلات متعددة قبل إيصال الضحية إلى رابط التحميل. هذا الأسلوب يمنح الرسالة مظهراً شرعياً أمام بعض أنظمة الحماية التقليدية.
ما الذي يحدث بعد النقر على الرابط؟
عند تجاوز صفحة التحقق، يُحمّل المستخدم ملفاً باسم قريب من “photo-رقم.zip”. وداخل الملف يظهر اختصار مزيف يبدو كأنه صورة PNG، لكنه في الحقيقة يشغل أوامر PowerShell في الخلفية.
- اسم الملف المضغوط: photo-أرقام.zip
- الملف الداخلي: IMG-أرقام.png.lnk أو PHOTO-أرقام.png.lnk
- الهدف: خداع الموظف للاعتقاد أنه يفتح صورة عادية
ما هي البرمجية الخبيثة التي تصيب الأجهزة؟
بعد تشغيل الملف، يبدأ سكربت PowerShell بفك رابط تحميل مخفي ثم تنزيل ملف إضافي إلى مجلد %TEMP%. بعدها يتم جلب نسخة شرعية من Node.js بالإصدار 24.13.0 وتشغيلها محلياً دون الحاجة إلى تثبيت النظام الكامل.
البرمجية التي يتم تشغيلها تُعرف باسم TonRAT، وهي تعتمد على JavaScript وتتواصل مع خوادم التحكم عبر WebSocket مشفر. كما أنها تستفيد من واجهات مرتبطة بشبكة TON للحصول على النطاقات بشكل ديناميكي، ما يصعّب عملية الحجب الثابت.
- البيئة المستخدمة: Node.js داخل مساحة المستخدم
- أسلوب التشغيل: PowerShell ثم JavaScript implant
- الاتصال الخارجي: قنوات مشفرة ومنافذ غير معتادة
لماذا تعد هذه الهجمات خطيرة على قطاع الضيافة؟
تكمن الخطورة في أن أجهزة الاستقبال داخل الفنادق تتعامل يومياً مع بيانات حساسة تشمل الحجوزات ومعلومات النزلاء وقنوات الدفع والتواصل. لذلك فإن أي اختراق ناجح قد يمنح المهاجمين نقطة دخول ثمينة إلى الشبكة الداخلية.
أبرز المؤشرات الفنية التي ظهرت في الحملة
- الاتصال بعناوين IP ثابتة عبر المنافذ 8443 و8445 و8453
- استخدام المنافذ 5555 و56001 إلى 56003
- ظهور تشغيل متصفح بوضع headless على بعض الأجهزة
- تنفيذ فحص جغرافي للجهاز عبر خدمة خارجية
- رصد أوامر إيقاف تشغيل قسري في بعض الحالات
حتى الآن لم يتم تأكيد سرقة بيانات أو تنفيذ هجمات فدية، لكن المؤشرات تكفي لاعتبار هجمات التصيد هذه تهديداً جدياً للفنادق. وتنصح تيكبامين بتشديد التحقق من المرفقات والاختصارات، ومراقبة نشاط PowerShell وNode.js غير المعتاد، لأن سرعة الاكتشاف قد تمنع تحول هجمات التصيد إلى اختراق كامل.
