- توفر ملفات WhatsApp برامج ضارة VBS يتم تثبيتها بصمت وتتمتع بالتحكم الكامل
- تسمح المجلدات المخفية وأدوات Windows المعاد تسميتها للمهاجمين بالاندماج في العمليات العادية
- تسترد البرامج الضارة البرامج النصية الثانوية من الخدمات السحابية الموثوقة لتجنب اكتشافها
حددت شركة Microsoft حملة برامج ضارة متعددة المراحل تستخدم تطبيق WhatsApp لتقديم ملفات Visual Basic Script (VBS) وتستغل ثقة المستخدمين في منصات المراسلة المألوفة.
يرسل المهاجمون ملفات تبدو غير ضارة عبر تطبيق WhatsApp، لكن فتحها يؤدي إلى تثبيت صامت يمنح الخصوم التحكم الخفي في النظام.
بمجرد تنفيذها، تقوم البرامج النصية بإنشاء مجلدات مخفية ضمن C:\ProgramData وإسقاط الإصدارات المعاد تسميتها من أدوات Windows المساعدة الشرعية، مثل curl.exe الذي أعيدت تسميته إلى netapi.dll وbitsadmin.exe الذي أعيدت تسميته إلى sc.exe.
يستمر المقال أدناه
ومن خلال تضمين هذه الأدوات في مسارات النظام العادية، يضمن المهاجمون دمج الأدوات في العمليات الروتينية بينما لا يزال بإمكان الحلول الأمنية اكتشاف البيانات التعريفية الأصلية.
تقوم البرمجيات الخبيثة بتغيير إعدادات النظام ليتم تشغيلها تلقائيًا بعد كل عملية إعادة تشغيل، مما يضمن البقاء حتى عندما يعتقد المستخدمون أنهم أزالوا التهديد.
وتحذر مايكروسوفت من أن هذا النهج يجمع بين الهندسة الاجتماعية وتقنيات العيش خارج الأرض ويزيد من التنفيذ الناجح دون إثارة تنبيهات فورية.
وقالت مايكروسوفت في تدوينة: “من خلال الجمع بين المنصات الموثوقة والأدوات المشروعة، يقلل ممثل التهديد من الرؤية ويزيد من احتمالية التنفيذ الناجح”.
بعد الإصابة الأولية، تسترد البرامج الضارة الحمولات الثانوية من الخدمات السحابية، بما في ذلك AWS S3 وTencent Cloud وBackblaze B2.
تستغل هذه البرامج المتسربة، التي يتم تسليمها بتنسيق auxs.vbs وWinUpdate_KB5034231.vbs، البنية التحتية السحابية الموثوقة وتخفي التنزيلات الضارة على أنها حركة مرور مشروعة على الشبكة.
تقوم البرامج الضارة أيضًا بتعديل إعدادات التحكم في حساب المستخدم وتحاول بشكل متكرر تشغيل cmd.exe بامتيازات مرتفعة حتى تنجح.
تقوم البرامج الضارة بتغيير إدخالات التسجيل ضمن HKLM\Software\Microsoft\Win لمنع مطالبات UAC ومنح الحقوق الإدارية دون علم المستخدم.
في المرحلة النهائية، يقوم المهاجمون بنشر ملفات Microsoft Installer (MSI) الضارة مثل Setup.msi وWinRAR.msi وLinkPoint.msi وAnyDesk.msi على الأنظمة المعرضة للخطر.
تتيح أدوات التثبيت غير الموقعة للمهاجمين الوصول المستمر عن بعد وتمكين سرقة البيانات أو نشر برامج ضارة إضافية أو دمج الأجهزة المصابة في شبكات الروبوت.
توصي Microsoft بمراقبة التلاعب المتكرر بـ UAC وتعديلات التسجيل كمؤشرات رئيسية للتسوية.
يجب على المؤسسات تقييد تنفيذ مضيفي البرامج النصية، ومراقبة الأدوات المساعدة للنظام المعاد تسميتها، وتثقيف المستخدمين حول أساليب الهندسة الاجتماعية.
تؤكد Microsoft على أهمية الحماية المقدمة عبر السحابة، والحماية من العبث، واكتشاف نقطة النهاية والاستجابة لها في وضع الحظر.
يجب على فرق الأمان مراقبة حركة المرور السحابية عن كثب، حيث قد تواجه طرق الكشف التقليدية صعوبة في التمييز بين هذه العمليات وبين النشاط المؤسسي الروتيني.
يمكن أن تساعد أدوات الذكاء الاصطناعي في تحليل الانحرافات السلوكية، وربط القياس عن بعد، وتحديد مرفقات WhatsApp المشبوهة.
يمكن أن يؤدي عدم توخي الحذر إلى فقدان البيانات بشكل دائم، حيث يكتسب المهاجمون التحكم الكامل في الجهاز والوصول إلى المعلومات الشخصية الحساسة.
تؤكد Microsoft أنه حتى نقرة واحدة مهملة يمكن أن تسمح لهذه البرامج الضارة بتجاوز وسائل حماية نقطة النهاية العادية.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات