هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

واتساب ينشر ملفات VBScript خبيثة عبر مستندات مزيفة

ملخص للمقال
  • واتساب ينشر ملفات VBScript خبيثة عبر مستندات مزيفة تستهدف مستخدمي WhatsApp Desktop وWhatsApp Web برسائل مباشرة تحمل مرفقات مالية وتجارية تبدو موثوقة
  • حملة واتساب الجديدة تعتمد على ملفات VBScript بأسماء مثل Financial Reports.vbs وAccount Statement.vbs لبدء سلسلة إصابة تنتهي بتثبيت أداة Remote Monitoring and Management
  • التفاصيل التقنية تكشف تمويهاً متقدماً داخل السكربتات، مع تعليقات مضللة تشبه Windows Update وإشارات لفحص الشهادات وسلامة النظام لإرباك التحليل الأمني
  • الهجوم يستخدم أسماء ملفات بلغات متعددة تشمل البرتغالية والفرنسية والألمانية والماليزية، ما يشير إلى نطاق جغرافي واسع ورفع احتمالات نجاح التصيد عبر واتساب
  • التأثير على المستخدمين خطير لأن أداة RMM تمنح المهاجمين وصولاً عن بُعد إلى الجهاز، ما يهدد البيانات المالية وحسابات العمل والملفات الحساسة
  • مقارنةً بحملات واتساب السابقة المعتمدة على الروابط أو ملفات APK، يبرز هذا الهجوم باستخدام VBScript ومستندات مزيفة، مع توقع زيادة التحذيرات الأمنية والتحديثات الوقائية
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
واتساب ينشر ملفات VBScript خبيثة عبر مستندات مزيفة
محتوى المقال
جاري التحميل...

تشهد واتساب حملة خبيثة جديدة تستخدم ملفات VBScript متنكرة كمستندات مالية لإصابة الأجهزة وتثبيت أداة تحكم عن بُعد دون إثارة الشكوك.

ما هي حملة واتساب الجديدة التي تعتمد على VBScript؟

تستهدف الحملة مستخدمي WhatsApp Desktop وWhatsApp Web عبر رسائل مباشرة تبدو عادية، لكنها تحمل مرفقات خادعة بأسماء توحي بأنها تقارير أعمال أو كشوفات حسابات.

وبمجرد أن يفتح الضحية الملف، يبدأ السيناريو الخبيث بسلسلة مراحل متتابعة تنتهي بتثبيت برنامج Remote Monitoring and Management المعروف اختصاراً بـ RMM، وهو برنامج شرعي في الأصل لكنه يُستغل هنا للوصول إلى الجهاز عن بُعد.

  • نوع الملف: VBScript
  • وسيلة الانتشار: رسائل مباشرة على واتساب
  • الهدف النهائي: تثبيت أداة RMM للوصول عن بُعد
  • الواجهة الخادعة: مستندات مالية وتجارية مزيفة

كيف تخدع الملفات الضحية داخل واتساب؟

تعتمد الحملة على أسماء ملفات تبدو مألوفة مثل “Financial Reports.vbs” و“Account Statement.vbs”، ما يدفع بعض المستخدمين إلى التعامل معها كمستندات عمل حقيقية.

الأمر اللافت أن بعض العينات ظهرت بأسماء بلغات متعددة، بينها البرتغالية والفرنسية والألمانية والماليزية، ما يعكس اتساع النطاق الجغرافي للهجوم وسعي المهاجمين لرفع نسبة النجاح.

تمويه تقني متقدم داخل السكربت

الملفات نفسها تحتوي على قدر كبير من التمويه البرمجي، مع تعليقات وبيانات وصفية توحي بأنها مرتبطة بمكونات تحديثات ويندوز. كما تظهر داخلها إشارات إلى التحقق من الشهادات وسلامة النظام وعمليات النشر، بهدف إرباك التحليل الأمني.

  • تعليقات مضللة تشبه مكونات Windows Update
  • إشارات إلى فحص سلامة النظام
  • إخفاء كثيف لتصعيب اكتشاف السلوك الحقيقي

ما الفرق بين الهجوم على واتساب ويب وواتساب سطح المكتب؟

وفق ما رصدته تيكبامين، يختلف التنفيذ قليلاً بين WhatsApp Web وWhatsApp Desktop. ففي نسخة الويب يعتمد الهجوم على قيام المستخدم بتنزيل الملف أولاً ثم فتحه من مجلد التنزيلات أو من سجل التحميل داخل المتصفح.

أما في تطبيق سطح المكتب، فتبدو العملية أكثر سلاسة للمهاجم، إذ يمكن تنفيذ الملف من داخل بيئة التطبيق نفسها، ثم تشغيل WScript.exe لبدء المرحلة التالية من العدوى.

  • واتساب ويب: تنزيل الملف ثم فتحه يدوياً
  • واتساب سطح المكتب: تشغيل أسرع من داخل التطبيق
  • الأداة المستخدمة: WScript.exe لتشغيل السكربت

لماذا تُعد حملة واتساب هذه خطيرة على المستخدمين؟

تكمن الخطورة في أن أداة RMM ليست برمجية خبيثة تقليدية، بل برنامج إدارة شرعي يمكنه منح المهاجم تحكماً فعلياً بالجهاز إذا تم تثبيته بهذه الطريقة. وهذا يجعل اكتشاف الهجوم أصعب، خصوصاً في البيئات التي تستخدم أدوات الإدارة عن بُعد بشكل طبيعي.

كما أن استخدام حسابات واتساب مخترقة أو مستولى عليها يمنح الرسائل مصداقية أعلى، لأن المرفقات تصل من جهات اتصال معروفة. لذلك، فإن تجاهل أي ملف VBScript مشبوه، حتى لو جاء من شخص مألوف، يظل خطوة أساسية للحد من الخطر. وتؤكد تيكبامين أن الوعي بهذه الحملة على واتساب مهم الآن أكثر من أي وقت.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...