كشفت تقارير حديثة عن حملة هجمات إلكترونية نشطة تستغل تطبيق واتساب لإيصال ملفات ضارة مباشرة لمستخدمي أنظمة ويندوز. تعتمد هذه الهجمات على الثقة الكبيرة التي يوليها المستخدمون لتطبيقات المراسلة اليومية، مما يسهل على المهاجمين تنفيذ أغراضهم الخبيثة.
تتضمن هذه الحملة إرسال ملفات Visual Basic Script (VBS) خبيثة عبر رسائل واتساب، حيث يعتمد المهاجمون على حقيقة أن المستخدمين نادراً ما يشككون في المرفقات القادمة من منصات مألوفة. يؤدي تشغيل هذه الملفات إلى إصابة صامتة للجهاز دون ظهور أي تحذيرات للمستخدم.
تتميز هذه الحملة بقدرتها على التخفي ضمن بيئة تشغيل طبيعية. يستخدم المهاجمون تقنيات “العيش على الأرض” (living-off-the-land)، وهي طريقة تعتمد على استغلال الأدوات الموجودة بالفعل في نظام ويندوز بدلاً من جلب برامج غير مألوفة.
يتم إعادة تسمية أدوات النظام الشرعية مثل curl.exe و bitsadmin.exe لتبدو كملفات نظام عادية، ثم يتم وضعها داخل مجلدات مخفية في C:ProgramData. بعد ذلك، يتم تحميل حمولات ثانوية من خدمات سحابية موثوقة مثل AWS S3، و Tencent Cloud، و Backblaze B2، مما يجعل التحميلات الخبيثة تبدو كحركة مرور عادية للنظام.
كيف تتكشف حملات واتساب الضارة
بدأت هذه الحملة التي تم تحديدها في أواخر فبراير 2026 من قبل فريق أبحاث أمن مايكروسوفت. لاحظ الباحثون أن العملية تجمع بين الهندسة الاجتماعية وتقنيات الإصابة الخفية، حيث تعمل عبر مراحل متعددة لتثبيت حزم MSI الضارة، والحفاظ على الاستمرارية عبر عمليات إعادة تشغيل النظام، وفتح قنوات وصول عن بعد تمنح المهاجمين تحكماً كاملاً ومستمراً.
في نهاية المطاف، تقوم الحملة بتثبيت مجموعة من حزم التثبيت MSI غير الموقعة، بما في ذلك Setup.msi، و WinRAR.msi، و LinkPoint.msi، و AnyDesk.msi. يُعد غياب شهادة توقيع رمز صالحة على هذه الملفات إشارة تحذير واضحة، حيث أن البرامج المؤسسية الشرعية عادة ما تحمل توقيع ناشر موثوق.
بمجرد تشغيل هذه المثبتات، فإنها تنشئ وصولاً عن بعد مستمراً، مما يمنح المهاجمين القدرة على سرقة البيانات، أو نشر برمجيات خبيثة إضافية، أو استخدام النظام المخترق كجزء من عملية هجوم أوسع.
التفاصيل التقنية لهجمات واتساب
تبدأ عملية الهجوم عندما يقوم المستخدم بتشغيل ملف VBS الخبيث المستلم عبر واتساب. يقوم النص البرمجي بإنشاء مجلدات مخفية داخل C:ProgramData على الفور وإسقاط نسخ معاد تسميتها من أدوات ويندوز الشرعية. على الرغم من تغيير الأسماء، تحتفظ الملفات ببيانات التعريف الأصلية، مثل حقل OriginalFileName. هذا التناقض بين الاسم المرئي والبيانات الوصفية المضمنة هو إشارة يمكن لأدوات الأمان اكتشافها.
بعد ذلك، تقوم هذه الأدوات المعاد تسميتها بتنزيل نصوص VBS ثانوية من البنية التحتية للمهاجمين المستضافة سحابياً، بما في ذلك ملفات مثل auxs.vbs و WinUpdate_KB5034231.vbs. يعتبر استضافة هذه الملفات على منصات معروفة مثل AWS S3 و Backblaze B2 خطوة متعمدة، حيث أن جدران الحماية للشركات نادراً ما تحظر حركة المرور إلى هذه الخدمات.
أسماء الملفات مصممة أيضاً لتشبه حزم تحديث ويندوز الشرعية، مما يقلل من احتمالية أن يلاحظ أي شخص هذه التحميلات أو يشكك في مصدرها. بمجرد وصول النصوص البرمجية الثانوية إلى النظام، تبدأ البرامج الضارة في التلاعب بإعدادات التحكم في حساب المستخدم (UAC). تحاول باستمرار تشغيل cmd.exe بامتيازات مرتفعة، وتعديل إدخالات السجل تحت HKLMSoftwareMicrosoftWin حتى يتم تأمين حقوق المسؤول.
مع الحصول على هذه الحقوق، يتم قمع مطالبات الأمان بالكامل، مما يضمن تشغيل المثبتات MSI النهائية دون إثارة أي تنبيهات أو انقطاعات قد تنبه المستخدم أو مسؤول تكنولوجيا المعلومات.
توصيات أمنية لمواجهة التهديد
توصي مايكروسوفت بأن تقوم المؤسسات بحظر مضيفي النصوص البرمجية مثل wscript و cscript من العمل في مسارات غير موثوقة، ومراقبة أدوات ويندوز المعاد تسميتها التي تعمل بعلامات سطر أوامر غير شائعة. يجب على فرق الأمن فحص وتصفية حركة المرور إلى المنصات السحابية مثل AWS S3 و Tencent Cloud و Backblaze B2، حيث يعتمد المهاجمون على هذه الخدمات لتقديم حمولات ثانوية دون اكتشاف.
يجب تتبع تغييرات السجل تحت HKLMSoftwareMicrosoftWin في الوقت الفعلي، ويجب الإبلاغ عن أي محاولات متكررة لتجاوز UAC كمؤشر على اختراق نشط. تمكين EDR في وضع الحظر يوقف القطع الأثرية الضارة حتى لو فات محلل مكافحة الفيروسات الأساسي، بينما يمنع تمكين الحماية من العبث المهاجمين من تعطيل خدمات الأمان بعد الاختراق. يؤدي تكوين قواعد تقليل سطح الهجوم لحظر VBScript من تشغيل الملفات التنفيذية التي تم تنزيلها إلى توفير طبقة إضافية حرجة.
يظل تدريب المستخدمين النهائيين على التساؤل حول مرفقات واتساب غير المتوقعة – حتى من جهات اتصال معروفة – أحد أكثر الطرق مباشرة لإيقاف هذا الهجوم قبل أن يبدأ.