تكشف حملة قرصنة جديدة تستهدف المستخدمين عبر رسائل بريد صوتي خادعة، تُعرف باسم “Voicemail Trap”، عن تكتيكات متطورة يستخدمها مجرمو الإنترنت للتحايل على الدفاعات الأمنية التقليدية. تستهدف هذه الحملة المتقدمة المستخدمين برسائل إشعار بريد صوتي مزيفة تبدو كأنها اتصالات عمل رسمية.
غالباً ما تبدو هذه الرسائل وكأنها صادرة عن كيانات مالية موثوقة، وتستعمل لغة ألمانية مقنعة لخداع الضحايا للتفاعل مع محتوى خبيث. يعتمد الهجوم بشكل كبير على التلاعب بثقة المستخدم بدلاً من استغلال ثغرات برمجية معقدة.
حملة “Voicemail Trap”: تقنية الخداع عبر رسائل البريد الصوتي
تبدأ مسار الهجوم عندما يتلقى الهدف إشعاراً يدعي وجود رسالة صوتية جديدة وعاجلة في انتظاره. يؤدي النقر على الرابط المقدم إلى توجيه المستخدم إلى موقع إلكتروني مخترق يستضيفه نطاق فرعي يحمل طابعاً بنكياً، مما يمنح الهجوم مظهراً من الشرعية.
تحاكي صفحة الهبوط واجهة مشغل صوت قياسية وتطلب من المستخدم الاستماع إلى التسجيل. ومع ذلك، بدلاً من تشغيل ملف صوتي مباشرة، يطلب الموقع من المستخدم تنزيل ملف نصي معين لسماع الرسالة. حدد باحثون في Censys هذا التهديد الناشئ في 12 يناير 2026، حيث لاحظوا 86 خاصية ويب متميزة توصل هذه الرسائل الخداعة.
آلية الإصابة المعقدة
الملف الذي يتم تنزيله هو في الواقع ملف نصي من نوع Windows Batch (BAT) تم التمويه عليه ليشبه تحديثاً لترميز الصوت أو مكون وسائط ضروري. بمجرد أن يقوم المستخدم بتشغيل هذا الملف النصي يدوياً، فإنه يبدأ عملية عدوى متعددة المراحل تؤدي في النهاية إلى اختراق جهاز الضحية، وغالباً دون أن يتم اكتشافها بواسطة برامج مكافحة الفيروسات القياسية، وذلك بسبب استخدام أدوات إدارية مشروعة.
يكمن جوهر هذا الهجوم في قدرته الذكية على إخفاء النشاط الخبيث كعمليات صيانة أو تحديثات للنظام. عندما يقوم المستخدم بتشغيل ملف BAT الذي تم تنزيله، تعرض شاشة وحدة التحكم “Windows Media Player Component Update” وهمية. هذا الرداء البصري يُهيئ الضحية لتوقع وقبول طلبات الأمان اللاحقة، معتقداً أنه ببساطة يصرح بتحديث برنامج شرعي مطلوب لتشغيل الصوت.
في الوقت الذي تعمل فيه شاشة التحديث الوهمية في المقدمة، يقوم النص البرمجي بتنزيل وتثبيت أداة RMM (Remote Monitoring and Management) مفتوحة المصدر مشروعة تسمى “Remotely” بهدوء. لتعزيز الوهم، يقوم البرنامج الضار في نفس الوقت بتشغيل ملف صوتي غير ضار من نافذة متصفح مصغرة، مما يوفر تأكيداً حسياً للضحية بأن “البريد الصوتي” يعمل.
في هذه الأثناء، يقوم وكيل RMM المثبت بتسجيل الجهاز في شبكة يتحكم بها المهاجم، مما يمنحهم وصولاً عن بعد مستمراً إلى النظام لسرقة البيانات أو نشر حمولات إضافية. لحماية الأجهزة من هذه التهديدات، يجب على فرق الأمن مراقبة تثبيتات برامج RMM غير المصرح بها بشكل استباقي وحظر النطاقات الخبيثة المعروفة المرتبطة بهذه الحملة.
ينصح المستخدمون بفحص عناوين URL بعناية قبل النقر، ومعاملة أي طلب لتنزيل “ترميزات” أو “تحديثات” لمجرد تشغيل رسالة بريد صوتي بالشك المفرط. يعد الوعي المتزايد بمثل هذه الهجمات الهندسية الاجتماعية خط الدفاع الأول ضد الأنشطة السيبرانية الخبيثة.