أصدرت شركة Microsoft تحذيراً بشأن حملة جديدة بدأت أواخر فبراير 2026، حيث يستخدم المهاجمون رسائل WhatsApp لتوزيع ملفات Visual Basic Script (VBS) خبيثة. هذه الملفات تُطلق سلسلة إصابة متعددة المراحل تهدف إلى ترسيخ وجود البرمجية على النظام ومنح المهاجمين وصولاً عن بُعد. حتى الآن لم يُعرف ما هي الطُعم الاجتماعية التي يعتمدها المهاجمون لإقناع المستخدمين بتنفيذ الملفات.
تقنيات “العيش على النظام” وإخفاء النشاط
وفقاً لفريق أبحاث Microsoft Defender Security، تعتمد الحملة على مزيج من الهندسة الاجتماعية وتقنيات Living-off-the-land (LOTL)، حيث يتم استخدام أدوات ويندوز الأصلية بعد إعادة تسميتها لتبدو وكأنها نشاط طبيعي. على سبيل المثال، يتم إسقاط نسخ مخفية من أدوات مثل curl.exe (باسم netapi.dll) وbitsadmin.exe (باسم sc.exe)، ثم تُستخدم هذه الأدوات لجلب حمولة إضافية من خدمات سحابية موثوقة مثل AWS وTencent Cloud وBackblaze B2.
تجاوز UAC وتثبيت برمجيات خبيثة
بعد الحصول على موطئ قدم أولي، يسعى المهاجمون إلى ترسيخ الاستمرارية ورفع الامتيازات عبر التلاعب بإعدادات User Account Control (UAC). يتم ذلك من خلال محاولات متكررة لتشغيل cmd.exe بامتيازات مرتفعة، وتعديل مفاتيح السجل تحت المسار HKLM\Software\Microsoft\Win، إضافة إلى تثبيت حزم MSI غير موقعة. بعض هذه الحزم تتضمن أدوات شرعية مثل AnyDesk، لكنها تُستخدم هنا كوسيلة للوصول المستمر عن بُعد، ما يتيح للمهاجمين سرقة البيانات أو نشر برمجيات إضافية.
خطورة الحملة
مايكروسوفت وصفت هذه الحملة بأنها مثال على سلسلة إصابة متطورة تجمع بين:
- التوزيع عبر واتساب (هندسة اجتماعية).
- إخفاء النشاط عبر إعادة تسمية أدوات شرعية وإخفاء المجلدات.
- استضافة الحمولة على خدمات سحابية موثوقة لزيادة فرص النجاح.
- تجاوز UAC لضمان السيطرة الكاملة على النظام.
هذا المزيج يجعل الهجوم أكثر صعوبة في الكشف، ويُظهر كيف يستغل المهاجمون أدوات موثوقة ومنصات شرعية لتمويه نشاطهم الخبيث.
