شهدت حملة تصيد إلكتروني متطورة إصابة 1,437 مستخدمًا حول العالم بتثبيت برامج تجسس، وذلك خلال 12 يومًا فقط. استغل المهاجمون موقعًا وهميًا لبرنامج Zoom، والذي تم تصميمه ليبدو مطابقًا تمامًا للصفحة الرسمية، لنشر برامج مراقبة على أجهزة ويندوز.
تم اكتشاف هذه الحملة لأول مرة في 11 فبراير 2026، عبر منصة Microsoft Defender for Endpoint. واستخدم المهاجمون نسخة معدلة من برنامج Teramind، وهو أداة تجسس تجارية مشروعة، لجمع معلومات عن الضحايا.
حملة تصيد Zoom تستهدف سرقة البيانات
بدأت الحملة بمجرد دخول المستخدم إلى موقع uswebzoomus[.]com/zoom/، وهو نسخة طبق الأصل من صفحة انتظار مكالمات Zoom.
لدى تحميل الصفحة، يقوم النظام بإرسال إشارة للمهاجمين بوجود زائر. تظهر بعدها ثلاثة شخصيات وهمية، “ماثيو كارلسون” و”جيمس ويتمور” و”سارة تشين”، لينضموا إلى المكالمة بشكل متتابع، مع مؤثرات صوتية تحاكي استدعاءات Zoom وتتخللها أصوات محادثات مسجلة.
لم يتم تفعيل هذه الآلية إلا عند تفاعل شخص حقيقي مع الصفحة، مما يضمن عدم اكتشاف الأدوات الأمنية الآلية التي تفحص دون نقر.
التلاعب النفسي كأداة للهجوم
أشار محللو Malwarebytes، الذين كشفوا عن تفاصيل الهجوم في 24 فبراير 2026، إلى أن الهجوم اعتمد بشكل أساسي على التلاعب النفسي بدلاً من المهارات التقنية العالية.
تظهر لافتة دائمة تحمل عنوان “مشكلة في الشبكة” على صفحة الاتصال الوهمية، ولم تكن مجرد عطل فني، بل جزءًا مخططًا له. تهدف هذه الشاشة المتقطعة والصوت المشوش إلى إحباط المستخدم وجعله يعتقد أن مشكلة ما في تطبيقه.
بعد عشر ثوانٍ، يظهر مربع حوار يبلغ عن “تحديث متاح – إصدار جديد متاح للتنزيل”، مع عد تنازلي لمدة خمس ثوانٍ وعدم وجود خيار لإغلاقه.
عند انتهاء العد التنازلي، يقوم المتصفح بتنزيل مثبت خبيث بصمت. بالتزامن مع ذلك، تظهر شاشة وهمية لمتجر Microsoft توضح أن “Zoom Workplace” قيد التثبيت، مما يوهم المستخدم بوجود عملية تحديث طبيعية بينما يتم تثبيت الحمولة الخبيثة في مجلد التنزيلات دون أي طلب تصريح.
الملف الذي يتم تنزيله، zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced)(1).msi، يحمل تجزئة SHA-256 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa. في وقت الاكتشاف، لم تكن Microsoft Defender تكتشف هذا الملف على VirusTotal، مما ترك المستخدمين دون أي تحذير.
ما يجعل هذه الحملة خطيرة بشكل خاص هو أن المهاجمين لم يبتكروا برامج خبيثة مخصصة. بل قاموا بنشر نسخة معدلة مسبقًا من ميزة التثبيت المخفي لبرنامج Teramind، والتي تم تصميمها لتعمل بدون أي أيقونة في شريط المهام، أو ظهور في منطقة النظام، أو أي أثر مرئي في قائمة البرامج المثبتة.
خفي بطبيعته: كيف يعمل المثبت للتخفي
يحتوي المسار الداخلي لإنشاء المثبت على اسم المجلد “out_stealth”، مما يؤكد أنه تم تجميعه خصيصًا للعمل بشكل غير مرئي.
بمجرد تنفيذه عبر Windows Installer، يقوم العملاء بجمع اسم الكمبيوتر، وحساب المستخدم النشط، ولغة لوحة المفاتيح، وإعدادات المنطقة الخاصة بالنظام، ثم يقومون بإرسال جميع الأنشطة إلى خادم Teramind الذي يتحكم فيه المهاجم.
يأخذ برنامج العملاء الثنائي اسم dwm.exe بشكل افتراضي، ويتم تثبيته تحت C:ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A}.
تم تصميم المثبت أيضًا لاكتشاف بيئات المحاكاة (sandbox) التي تستخدمها فرق الأبحاث الأمنية، وهي تقنية تسمى اكتشاف بيئة التصحيح (DETECT_DEBUG_ENVIRONMENT).
إذا تم الاشتباه في إجراء تحليل، يمكن للمثبت تغيير سلوكه لتجنب إثارة أدوات الأمان. وبعد اكتمال التثبيت، يقوم بحذف ملفات الترحيل المؤقتة الخاصة به، مما يمسح أي آثار واضحة.
ومع ذلك، يستمر برنامج المراقبة في العمل بصمت، مسجلاً ضغطات المفاتيح، والتقاط لقطات الشاشة، ومراقبة نشاط الويب، ومحتويات الحافظة، ونقل الملفات.
نظرًا لأن الملفات تعود إلى منتج تجاري مشروع، فإن أدوات مكافحة الفيروسات التقليدية التي تعتمد على بصمات البرامج الضارة المعروفة قد لا تكتشف هذا التهديد. يجب على الفرق الأمنية فورًا إضافة تجزئة SHA-256 والنطاق uswebzoomus[.]com إلى قوائم الحظر الخاصة بهم.
يجب على المستخدمين الذين زاروا صفحة Zoom الوهمية عدم فتح الملف الذي تم تنزيله. وأي شخص قام بتشغيل المثبت بالفعل يجب أن يتعامل مع جهازه على أنه مخترق، وأن يتحقق من وجود المجلد المخفي تحت C:ProgramData، ويتأكد من تشغيل خدمة tsvchst، ويجب عليه تغيير جميع كلمات المرور – البريد الإلكتروني، والخدمات المصرفية، وحسابات العمل – من جهاز آخر نظيف.
يجب الإبلاغ فورًا عن أي حوادث متعلقة بالعمل إلى فريق تكنولوجيا المعلومات أو الأمن. لمنع الهجمات المماثلة، يجب دائمًا تشغيل Zoom من التطبيق المثبت، وكتابة zoom.us يدويًا في المتصفح، والتعامل مع أي رابط اجتماع غير متوقع بحذر قبل النقر عليه.
مؤشرات الاختراق (IoCs)
| النوع | القيمة |
|---|---|
| تجزئة الملف (SHA-256) | 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa |
| النطاق الخبيث | uswebzoomus[.]com |
| معرف مثيل Teramind | 941afee582cc71135202939296679e229dd7cced |
| اسم الملف الخبيث | zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced)(1).msi |
| اسم برنامج العملاء الثنائي | dwm.exe |
| مسار التثبيت | C:ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A} |
| خدمة الثبات | tsvchst |