بقلم حسين محمد أبريل 4, 2026, 3:15 م

تحذير من مايكروسوفت: كيف يتحول مرفق واتساب إلى باب خلفي للمخترقين؟

اكتشف باحثو مايكروسوفت حملة تستغل مرفقات واتساب لتسلل برنامج نصي إلى أجهزة ويندوز مما يؤدي إلى حصول المهاجم على تحكم عن بعد. وتكمن خطورة هذا الهجوم في قدرته على منح المخترقين صلاحيات واسعة للتحكم في الجهاز المستهدف عن بُعد، وبمجرد نجاح الاختراق، يمكن للمهاجمين سرقة البيانات الحساسة، أو تثبيت برامج فدية، أو حتى استخدام الجهاز كجزء من شبكة «بوتنت» لشن هجمات أوسع، مما يمثل تهديدًا مباشرًا لخصوصية المستخدم وأمن معلوماته الرقمية.

يُقدّم واتساب تطبيقًا لسطح المكتب لأنظمة ويندوز وماك، يُمكن للمستخدمين مزامنته مع أجهزتهم المحمولة، وتُستخدم نسخ واتساب المكتبية عادةً كإضافة لتطبيقات الجوال وليست منصات أساسية. لذا، ورغم انتشار استخدام هذه التطبيقات، فإن معدل تبنيها أقل بكثير مقارنةً بمنصات الجوال.

في العام الماضي، أغلقت شركة ميتا ثغرة أمنية سمحت للمهاجم بتشغيل تعليمات برمجية عشوائية على نظام ويندوز، والتي كانت موجودة في جميع إصدارات واتساب قبل الإصدار 2.2450.6.

تشغيل مرفق ‎.vbs عبر واتساب على ويندوز قد يمنح المهاجم تحكمًا كاملًا بالجهاز عبر استغلال أدوات النظام الشرعية وتجاوز حماية UAC.

الهندسة الاجتماعية: السلاح الأخطر في نسخ واتساب المكتبية

تعتمد الهجمات التي رصدتها مايكروسوفت كليًا على الهندسة الاجتماعية، حيث يتلقى المستخدم المستهدف مرفقًا عبر واتساب يبدو غير ضار ظاهريًا، ولكنه في الواقع ملف بصيغة .vbs (برنامج فيجوال بيسك) يمكن لنظام ويندوز تنفيذه.

يتلقى المستخدم المستهدف مرفقًا عبر واتساب يبدو غير ضار ظاهريًا

إذا تمكن المهاجم من إقناع الضحية بتشغيل الملف على نظام التشغيل ويندوز، فإن البرنامج النصي ينسخ أدوات ويندوز المدمجة إلى مجلد مخفي ويعطيها أسماء مضللة بحيث تبدو غير ضارة للوهلة الأولى.

مراحل السيطرة: استغلال أدوات النظام الأصلية للتخفي

بمجرد تنشيط الملف الخبيث، يبدأ البرنامج فوريًا بإنشاء مجلدات مخفية داخل المسار الحساس «C:\ProgramData». ولتجنب رصده من قبل برامج مكافحة الفيروسات، يقوم بنسخ أدوات النظام الأصلية وإعادة تسميتها بأسماء تبدو اعتيادية؛ فعلى سبيل المثال، يتم تغيير اسم الأداة «curl.exe» إلى «netapi.dll»، وأداة «bitsadmin.exe» إلى «sc.exe»، مما يجعل النشاط التخريبي يظهر كامتداد طبيعي لعمليات نظام «ويندوز».

والأدوات نفسها شرعية، لكنها تُستغل لتحميل برامج ضارة. إنها تقنية كلاسيكية تعتمد على استغلال ما هو موجود بالفعل على النظام بدلًا من إدخال ملفات برامج ضارة يمكن اكتشافها أثناء الفحص.

المرحلة الأولى: كيف يمر الهجوم عبر شبكات AWS وTencent؟

يتم سحب البرامج النصية التالية من مزودي الخدمات السحابية المشهورين، لذا تبدو حركة مرور الشبكة وكأنها وصول عادي إلى AWS أو Tencent Cloud أو Backblaze بدلاً من خادم مشبوه قد يثير الشكوك.

لإيقاف الإنذارات المحتملة الأخرى، يستمر البرنامج الضار في محاولة رفع نفسه إلى مستوى المسؤول، ثم يعدل مطالبات التحكم في حساب المستخدم (UAC) وإعدادات التسجيل حتى يتمكن من إجراء تغييرات على مستوى النظام بصمت والاستمرار عبر عمليات إعادة التشغيل.

المرحلة الثانية: تعزيز السيطرة والاتصال السحابي

في هذه المرحلة ينتقل المهاجمون إلى مرحلة أكثر تعقيدًا تهدف إلى رفع مستوى الصلاحيات وتثبيت المكونات الإضافية، وتعمد هذه الأدوات إلى الاتصال بخدمات تخزين سحابية موثوقة مثل «Amazon Web Services» و«Tencent Cloud» و«Backblaze» لتحميل ملفات خبيثة تكميلية. وبسبب السمعة الطيبة لهذه المنصات، تمر حركة البيانات عبر شبكة المراقبة مرورًا آمنًا دون إثارة الشكوك.

المرحلة الثالثة: اختراق نظام الحماية (UAC)

في نهاية سلسلة العدوى، يقوم برنامج MSI (Microsoft Installer) غير الموقع بإعداد برامج الوصول عن بعد وحمولات أخرى، مما يمنح المهاجم وصولًا مستمرًا وعمليًا إلى الجهاز والبيانات.

تستهدف البرمجية الخبيثة في هذه الخطوة آلية «التحكم في حساب المستخدم» (User Account Control)، وهي خط الدفاع الأساسي في «ويندوز». يقوم المهاجمون بتعديل قيمة في سجل النظام (Registry) تُعرف باسم «ConsentPromptBehaviorAdmin»، وهو ما يؤدي فعليًا إلى تعطيل التنبيهات الأمنية التي تظهر للمستخدم.

بعد ذلك، يتم تكرار تشغيل موجه الأوامر «cmd.exe» آليًا حتى ينجح في انتزاع صلاحيات المسؤول (Administrator)، مما يمنح المهاجم قدرة كاملة على التنفيذ.

دليل الأمان: كيف تحمي جهازك من البرمجيات الخبيثة؟

بالنسبة للمستخدمين المنزليين والشركات الصغيرة، توجد بعض الخطوات العملية للحفاظ على سلامتهم:

  1. لا تفتح المرفقات غير المرغوب فيها حتى تتأكد من مصدر موثوق أنها آمنة.
  2. فعّل عرض امتدادات أسماء الملفات في مستكشف الملفات حتى يتم التعرف على الملف الذي يدعي أنه صورة ولكنه ينتهي بـ .vbs أو .msi على هذا النحو.
  3. استخدم حلًا محدثًا لمكافحة البرامج الضارة في الوقت الفعلي لإيقاف الاتصالات غير المرغوب فيها وتحديد الملفات الضارة.
  4. حمّل البرامج فقط من الموقع الرسمي للبائع وتأكد من أن ملفات التثبيت موقّعة.
  5. لا تتجاهل علامات التحذير. إن ظهور مطالبات التحكم في حساب المستخدم بشكل غير متوقع، أو ظهور برامج جديدة فجأة، أو تباطؤ جهازك بعد فتح مرفق واتساب، كلها أسباب تستدعي إجراء فحص لمكافحة البرامج الضارة، وإذا لزم الأمر، فكن مستعدًا للاستعادة من نسخة احتياطية نظيفة.
  6. حافظ على تحديث نظام التشغيل ويندوز وجميع التطبيقات الأخرى لمنع استغلال الثغرات الأمنية المعروفة.
  7. لا نكتفي بالإبلاغ عن التهديدات، بل نزيلها أيضًا.

حافظ على تحديث نظام التشغيل ويندوز وجميع التطبيقات الأخرى

لا ينبغي أن تتجاوز مخاطر الأمن السيبراني مجرد عناوين الأخبار؛ فنحن لا نكتفي بالإبلاغ عن التهديدات، بل نسعى لتزويدك بالوعي اللازم لإزالتها. احمِ أجهزتك من التهديدات المتطورة عن طريق تحميل برنامج موثوق لمكافحة الفيروسات، وتذكر أن وعيك هو خط الدفاع الأول.

حسين محمد
بقلم حسين محمد

ملاحظة: المقالات والمشاركات والتعليقات المنشورة بأسماء أصحابها أو بأسماء مستعارة لا تمثل الرأي الرسمي لجوَّك بل تمثل وجهة نظر كاتبها ونحن لا نتحمل أي مسؤولية أو ضرر بسبب هذا المحتوى.

ما رأيك بما قرأت؟
إذا أعجبك المقال اضغط زر متابعة الكاتب وشارك المقال مع أصدقائك على مواقع التواصل الاجتماعي حتى يتسنى للكاتب نشر المزيد من المقالات الجديدة والمفيدة والإيجابية..

تعليقات

يجب عليك تسجيل الدخول أولاً لإضافة تعليق.

استكشف المزيد حول