كشفت شركة Kaspersky عن حملة نشطة تستغل رسائل مباشرة عبر واتساب لتوزيع ملفات VBScript خبيثة، تؤدي في النهاية إلى تثبيت برنامج مشروع لإدارة الأنظمة عن بُعد (ManageEngine RMM Central). المهاجمون يستخدمون أسماء ملفات مضللة مثل “Financial Reports.vbs” أو “Account Statement.vbs”، وأحيانًا بلغات متعددة كالبرتغالية والفرنسية والألمانية والماليزية، لإيهام الضحايا بأنها مستندات مالية أو تجارية مشروعة. هذه الحملة تستهدف مستخدمي واتساب ويب وواتساب سطح المكتب في دول عديدة، أبرزها ماليزيا التي سجلت أعلى نسبة إصابات، إلى جانب البرازيل والهند والمكسيك وسنغافورة والمملكة المتحدة وإسبانيا وتايوان وأستراليا وروسيا وفيتنام.
سلسلة العدوى وآليات التنفيذ
بمجرد فتح الملف عبر WScript.exe، يبدأ تسلسل عدوى متعدد المراحل:
- تحميل وتنفيذ مكونات إضافية من VBScript.
- محاولة التلاعب بسلوك Windows UAC لتعطيل الضوابط الأمنية.
- تنزيل ملف مضغوط (ZIP) يحتوي على حزمة تثبيت ManageEngine RMM Central.
في حالة واتساب ويب، يعتمد الهجوم على قيام المستخدم بتنزيل الملف وفتحه من مجلد التنزيلات أو سجل المتصفح. أما في نسخة سطح المكتب، فإن العملية تتم مباشرة داخل التطبيق، حيث يُظهر شجر العمليات أن “WhatsApp.Root.exe” هو من يستدعي “WScript.exe” لتشغيل الملف الخبيث.
تقنيات التمويه والبنية التحتية
ملفات VBScript المستخدمة في الحملة مشفّرة بشكل مكثف، وتحتوي على تعليقات وبيانات وصفية توحي بأنها مكونات مرتبطة بـ Windows Update، بما في ذلك إشارات إلى التحقق من الشهادات وسلامة النظام. العديد من هذه التعليقات مكتوبة بالصينية، ما يعزز الطابع المضلل للملفات. التحقيقات أظهرت أيضًا وجود تداخل في البنية التحتية مع أنشطة سابقة مرتبطة ببرمجيات Gh0st RAT وValleyRAT، حيث تم رصد عنوان خادم مشبوه (202.61.160[.]201).
توصيات الحماية والتحذيرات
أوصت Kaspersky المستخدمين بتوخي الحذر عند تلقي مرفقات غير متوقعة عبر واتساب، حتى لو بدت وكأنها من جهات معروفة. وشددت على ضرورة عدم فتح ملفات تنفيذية أو نصية مثل VBS، VBE، EXE، BAT، CMD، JS، وPS1 إلا بعد التحقق من مشروعيتها بشكل مستقل. هذا النوع من الحملات يبرز خطورة استغلال منصات التواصل الاجتماعي كقنوات توزيع للبرمجيات الخبيثة، حيث يجمع بين الهندسة الاجتماعية والاعتماد على أدوات مشروعة لإدارة الأنظمة، مما يزيد من صعوبة اكتشافه ويضاعف أثره على المؤسسات والأفراد.






























