أصدرت شركة مايكروسوفت تحذيراً عاجلاً بشأن حملة برمجيات خبيثة جديدة ومعقدة تستخدم منصة التراسل الفوري واتساب كآلية رئيسية للتوزيع. تم رصد هذه الحملة لأول مرة في أواخر فبراير 2026، وتتضمن توزيع ملفات نصية مرئية أساسية (VBS) خبيثة مصممة لتنفيذ سلسلة إصابة متعددة المراحل. الأهداف النهائية هي إنشاء سيطرة دائمة على أنظمة ويندوز المخترقة وتمكين الوصول عن بُعد دون قيود لمجموعات التهديد. الجانب المقلق بشكل خاص في هذا الهجوم هو استخدامه لتقنية تجاوز ضوابط حساب المستخدم (UAC)، مما يسمح للبرمجية الخبيثة بالتنفيذ بصلاحيات متقدمة دون إثارة مطالبات الأمان القياسية، مما يعزز بشكل كبير قدرتها على التخفي والتدمير.
تبدأ عملية الإصابة عندما يتلقى الهدف رسالة واتساب تبدو شرعية تحتوي على مرفق ملف VBS. بينما تبقى الحيل الهندسية الاجتماعية المحددة المستخدمة لإغراء المستخدمين بفتح الملف غير واضحة، تشمل التكتيكات النموذجية في مثل هذه الحملات انتحال هويات جهات اتصال موثوقة، أو إرسال فواتير مزيفة، أو التظاهر بأنها تحديثات أمنية حرجة. بمجرد أن ينفذ المستخدم النص البرمجي VBS، يبدأ سلسلة معقدة من الأحداث. تم هندسة النص البرمجي لتجاوز حماية UAC في ويندوز، وهي ميزة أمنية حاسمة مصممة لمنع التغييرات غير المصرح بها. يعتبر هذا التجاوز حجر الزاوية في الهجوم، حيث يمنح البرمجية الخبيثة حقوق المسؤول لتعطيل برامج الأمان، والتلاعب بإعدادات النظام، وتضمين نفسها بعمق داخل نظام التشغيل.
بعد التنفيذ الأولي وتصعيد الصلاحيات، يتابع نص VBS تنزيل ونشر حمولات إضافية من خوادم يتحكم فيها المهاجمون. يسمح هذا النهج متعدد المراحل لمجموعات التهديد بالحفاظ على المرونة، حيث يمكنها تقديم مجموعة من الأدوات الخبيثة مثل أحصنة طروادة للوصول عن بُعد (RATs)، أو برامج سرقة المعلومات، أو وحدات برمجيات الفدية. يعد إنشاء الاستمرارية محوراً رئيسياً، ويتم تحقيقه من خلال آليات مثل إنشاء مهام مجدولة، أو تعديل مفاتيح تسجيل التشغيل، أو تثبيت خدمات احتيالية. يضمن هذا بقاء البرمجية الخبيثة بعد إعادة تشغيل النظام واستمرار نشاطها، مما يوفر باباً خلفياً مستمراً لتصدير البيانات، أو المراقبة، أو اختراق الشبكة بشكل أعمق.
يؤكد ظهور هذه الحملة على عدة تهديدات متطورة في مشهد الأمن السيبراني. أولاً، يسلط الضوء على الاستمرار في تسليح منصات الاتصال الشرعية والمنتشرة مثل واتساب، والتي يثق بها المستخدمون بشكل فطري، مما يجعلها نواقل هجوم فعالة للغاية. ثانياً، يوضح استخدام نصوص VBS أن التقنيات الأقدم والأقل تطوراً ظاهرياً يمكن أن تظل قوية عند دمجها مع تقنيات التهرب الحديثة مثل تجاوز UAC. بالنسبة للمدافعين، يعزز هذا الحادث الحاجة إلى استراتيجيات أمنية متعددة الطبقات تشمل القوائم البيضاء للتطبيقات، والكشف القائم على السلوك لالتقاط محاولات تصعيد الصلاحيات، والتدريب الشامل على توعية المستخدمين للتعرف على تكتيكات الهندسة الاجتماعية، بغض النظر عن قناة الاتصال المستخدمة.
