كشف باحثو الأمن السيبراني في مايكروسوفت عن حملة برمجيات خبيثة متطورة تستغل الثقة المرتبطة باتصالات واتساب لتوصيل ملفات VBScript ضارة وحزم تثبيت MSI. يبدأ المهاجمون الاتصال عن طريق إرسال رسالة واتساب تبدو غير ضارة، غالبًا ما يتظاهرون فيها بأنهم جهة اتصال معروفة أو ممثل خدمة. تحتوي الرسالة عادةً على طعم، مثل دعوة مزيفة لاجتماع أو مستند عاجل، والذي يوجه الهدف إلى موقع ويب تم اختراقه أو يتحكم فيه المهاجم. تعتبر خطوة الهندسة الاجتماعية الأولية هذه حاسمة، حيث تتجاوز الضوابط التقنية من خلال استغلال فضول الإنسان والثقة الضمنية في منصة مراسلة مألوفة.
عند زيارة الرابط الضار، يُطلب من الضحية تحميل ملف. الحمولة الأساسية غالبًا ما تكون ملف سكريبت Visual Basic (VBS)، وهي لغة برمجة نصية شرعية لنظام Windows يساء استخدامها بشكل متكرر من قبل الجهات الخبيثة بسبب وصولها على مستوى النظام وقدرتها على تنفيذ الأوامر. يعمل هذا النص البرمجي VBS كأداة تحميل، حيث يجلب وينفذ المرحلة التالية من الهجوم. بالتوازي أو كإجراء متابعة، تنشر الحملة حزمة Microsoft Software Installer (MSI) ضارة. تعتبر ملفات MSI خطيرة بشكل خاص لأنها ملفات نظام موثوقة مصممة لتثبيت البرامج، مما يسمح لها في كثير من الأحيان بتجاوز تحذيرات الأمان الأساسية والتشغيل بامتيازات مرتفعة، مما يسهل استمرارية عميقة في النظام.
الحمولة النهائية لهذا الهجوم متعدد المراحل هي باب خلفي قوي، يمنح المهاجمين وصولاً عن بُعد إلى النظام المختار. بمجرد التثبيت، يمكن لهذا الباب الخلفي تصدير البيانات الحساسة، ونشر برامج ضارة إضافية مثل برامج الفدية أو برامج التجسس، وتوفير موطئ قدم للحركة الجانبية داخل شبكة الشركة. تُعزِي مايكروسوفت هذه الحملة إلى جهة تهديد مدفوعة بالربح المالي، مسلطة الضوء على التطور المستمر لتكتيكات الهندسة الاجتماعية التي تمزج بين منصات شائعة مثل واتساب وتنسيقات الملفات الموثوقة لزيادة معدلات الإصابة إلى أقصى حد. يمثل استخدام حزم MSI اتجاهًا كبيرًا، حيث يركز المدافعون بشكل متزايد على حظر ملفات التنفيذ (.exe)، مما دفع المهاجمين إلى التحول إلى تنسيقات مثبت أخرى أقل مراقبة.
للدفاع ضد مثل هذه التهديدات، يجب على المنظمات والأفراد اعتماد وضع أمني متعدد الطبقات. يجب أن تتضمن الضوابط التقنية تصفية متقدمة للبريد الإلكتروني والويب لحظر الروابط الضارة، وقوائم السماح بالتطبيقات لمنع النصوص البرمجية والمثبتات غير المصرح بها من التشغيل، وحلول كشف واستجابة نقطة النهاية (EDR) لتحديد السلوكيات غير الطبيعية مثل تشغيل VBScript لحزم MSI. على الطبقة البشرية، يعد التدريب المستمر على التوعية الأمنية أمرًا بالغ الأهمية. يجب تثقيف المستخدمين لفحص الرسائل غير المتوقعة، حتى من جهات اتصال تبدو معروفة، والتحقق من شرعية الطلبات عبر قنوات ثانوية قبل النقر على الروابط أو تنزيل الملفات. يبقى اليقظة والتشكك الخط الأول والأكثر فعالية للدفاع ضد الهجمات ذات الهندسة الاجتماعية.
