حملة تصيد عبر واتساب تخترق الحواسيب بملفات أعمال مزيفة
أبرز النقاط
- حملة تصيد نشطة تستهدف مستخدمي واتساب في 11 دولة عبر ملفات VBScript خبيثة
- المهاجمون يستغلون برنامج ManageEngine Endpoint Central الشرعي للتحكم عن بُعد بأجهزة الضحايا
- الرسائل تُرسل من حسابات مخترقة لجهات اتصال موثوقة مما يزيد احتمالية فتحها
تتعرض أجهزة الحاسوب في أكثر من 11 دولة لحملة تصيد احتيالي متطورة عبر واتساب، حيث يستغل المهاجمون ملفات VBScript خبيثة متنكرة في شكل مستندات مالية وتجارية لاختراق الأنظمة والتحكم بها عن بُعد. الخطورة الحقيقية تكمن في أن الرسائل تصل من حسابات جهات اتصال موثوقة سبق اختراقها، مما يُسقط حاجز الشك لدى الضحايا.
كيف تعمل حملة التصيد عبر واتساب؟
كشفت شركة كاسبرسكي للأمن السيبراني عن تفاصيل هذه الحملة التي تنتشر في البرازيل والهند والمكسيك وسنغافورة والمملكة المتحدة وإسبانيا وتايوان وأستراليا وروسيا وفيتنام وماليزيا. تبدأ الهجمة برسالة واتساب من حساب مخترق لا تحتوي سوى ملف VBS مشفر بشدة.
يحمل الملف أسماء توحي بأنه تقرير مالي أو فاتورة أو إشعار حساب — صياغات مدروسة لإثارة فضول المتلقي ودفعه للفتح. اللافت أن أسماء الملفات مترجمة لعدة لغات محلية، مما يؤكد الطابع العالمي للحملة واستهدافها المدروس.
ما الذي يحدث عند فتح الملف الخبيث؟
حين يُحمّل الضحية الملف ويفتحه على نظام Windows، يبدأ سكربت VBScript بجلب سكربتين إضافيين من خوادم المهاجمين. تقوم هذه السكربتات بتعطيل حماية التحكم في حساب المستخدم (UAC) عبر تعديلات في سجل النظام، ثم تُنزّل أرشيف ZIP يحتوي برنامج ManageEngine Endpoint Central.
يُثبَّت البرنامج بصمت في الخلفية ويُهيَّأ للاتصال بخوادم إدارة يتحكم بها المهاجمون، مما يمنحهم صلاحيات إدارة كاملة عن بُعد على جهاز الضحية. الخبث هنا أن ManageEngine أداة شرعية يستخدمها مديرو تقنية المعلومات لإدارة الأنظمة مركزياً، فلا تُثير أنظمة الحماية التقليدية.
- الرسائل تصل من حسابات واتساب مخترقة لجهات اتصال حقيقية
- ملفات VBScript مشفرة بأسماء مستندات مالية محلية اللغة
- تعطيل UAC وتثبيت صامت لبرنامج إدارة شرعي
- تحكم كامل عن بُعد عبر خوادم المهاجمين
فرق خطير بين واتساب ويب وتطبيق سطح المكتب
أوضحت كاسبرسكي فارقاً تقنياً مهماً: عند استلام الملف عبر WhatsApp Web، يجب تحميله أولاً قبل تنفيذه. لكن في تطبيق WhatsApp Desktop، يمكن تنفيذ الملف مباشرة عبر Windows Script Host دون خطوة تحميل منفصلة — مما يُقصّر سلسلة الهجوم ويزيد احتمالية نجاحها.
من يقف وراء هذه الحملة؟
لم تنسب كاسبرسكي الهجمات لجهة تهديد محددة، لكن الباحثين وجدوا مؤشرات على استخدام اللغة الصينية وتداخلاً في البنية التحتية مع عناوين IP سبق ربطها بنشاط برمجيتي ValleyRAT و Gh0st RAT. غير أن الأدلة لا تكفي لإسناد الهجوم بثقة عالية.
أما عن طريقة اختراق حسابات واتساب المُستخدمة في توزيع الملفات، فلا تزال مجهولة حتى الآن وفق ما أفادت كاسبرسكي.
كيف تحمي نفسك من تصيد واتساب؟
- تعامل بحذر مع أي ملف يصلك عبر واتساب حتى من جهات اتصال موثوقة
- تحقق من المرسل عبر قناة ثانية (مكالمة أو رسالة منفصلة) قبل فتح أي مرفق
- افحص كل ملف مُحمَّل ببرنامج مكافحة فيروسات محدّث قبل تشغيله
- انتبه لملفات بامتدادات غير مألوفة مثل .vbs أو .vbe أو .wsf
رأي Logicity
هذه الحملة نموذج صارخ لتقنية Living off the Land حيث يستغل المهاجمون أدوات إدارة شرعية لتجاوز أنظمة الحماية. الدرس للمؤسسات الخليجية واضح: لا يكفي حظر البرمجيات الخبيثة المعروفة، بل يجب مراقبة الاستخدام غير المألوف لأدوات الإدارة المشروعة كـ ManageEngine و TeamViewer وغيرها. كما أن اعتماد كثير من الشركات في المنطقة على واتساب للتواصل المهني يجعلها هدفاً مغرياً لهذا النوع من الهجمات.
الأسئلة الشائعة
هل يمكن أن أُصاب بالبرمجية الخبيثة على هاتفي؟
هذه الحملة تستهدف أجهزة Windows تحديداً. ملفات VBScript لا تعمل على أنظمة iOS أو Android، لكن حساب واتساب المخترق على الهاتف يُستخدم لنشر الملفات للضحايا.
كيف أعرف إذا كان حسابي على واتساب مخترقاً؟
راجع الأجهزة المرتبطة في إعدادات واتساب وأزل أي جهاز غير مألوف. إذا أبلغك أصدقاؤك عن رسائل لم ترسلها، فحسابك على الأرجح مخترق.
ما هو ManageEngine Endpoint Central ولماذا يستخدمه المهاجمون؟
برنامج شرعي لإدارة الأجهزة عن بُعد تستخدمه أقسام تقنية المعلومات. يستغله المهاجمون لأنه موقّع رقمياً ولا تحظره معظم برامج الحماية.
هل الدول العربية مستهدفة في هذه الحملة؟
لم تُذكر دول عربية في قائمة كاسبرسكي حتى الآن، لكن الطابع العالمي للحملة وترجمة أسماء الملفات لعدة لغات يجعل التوسع وارداً.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تبحث عن تقييم أمني لبيئة العمل في مؤسستك أو تدريب فريقك على التعامل مع هجمات التصيد، تواصل مع فريق Logicity للحصول على استشارة متخصصة.
عمر حسن
كاتب تقني وابتكار
مقالات ذات صلة
تصفح الكل
OpenAI تختبر اشتراك ChatGPT للعلوم: هل يُغيّر قواعد البحث الأكاديمي؟
رصد مطوّرون سلاسل برمجية داخلية على واجهة الويب الخاصة بـ ChatGPT تُشير إلى فئة اشتراك جديدة تحمل اسم ChatGPT for Science، ما يؤكد أن OpenAI تتجه نحو تقسيم قاعدة مستخدميها إلى شرائح عمودية متخصصة بدلا
تسريب FortiBleed يكشف بيانات اعتماد 73 ألف جهاز Fortinet VPN حول العالم
كشف باحثون في الأمن السيبراني عن تسريب ضخم يحمل اسم FortiBleed، يتضمن بيانات اعتماد صالحة لأكثر من 73 ألف جهاز Fortinet VPN وجدران حماية FortiGate منتشرة في مؤسسات حول العالم. التسريب يُعدّ من أكبر عم
إضافات خبيثة على سوق JetBrains تسرق مفاتيح API الخاصة بالذكاء الاصطناعي من 70 ألف مطوّر
كشف باحثون أمنيون في شركة Aikido Security عن حملة منسّقة استهدفت مطوّري البرمجيات عبر 15 إضافة خبيثة على سوق JetBrains Marketplace، صُمِّمت خصيصاً لسرقة مفاتيح API الخاصة بخدمات الذكاء الاصطناعي مثل O
برمجية Rokarolla الخبيثة تستهدف 217 تطبيقاً مصرفياً ومحفظة عملات رقمية على أندرويد
كشف باحثون في شركة Zimperium للأمن السيبراني عن برمجية خبيثة جديدة تُدعى Rokarolla تستهدف مستخدمي أندرويد عبر 217 تطبيقاً مصرفياً ومحفظة عملات رقمية، مستخدمةً ترسانة ضخمة من 137 أمراً للتحكم الكامل با
اقرأ أيضاً
Baseten تجمع 1.5 مليار دولار بتقييم 13 مليار دولار لتصبح من أكبر شركات البنية التحتية للذكاء الاصطناعي
في مؤشر واضح على استمرار تدفق رؤوس الأموال نحو قطاع الذكاء الاصطناعي، أعلنت شركة Baseten الأمريكية عن إتمام جولة تمويلية ضخمة بقيمة 1.5 مليار دولار، رفعت تقييمها إلى 13 مليار دولار. هذا التمويل يضع ال
كونال شاه يغادر CRED وMeta تستثمر 900 مليون دولار بتقييم 4.5 مليار
في تحوّل لافت يُعيد رسم ملامح قطاع التكنولوجيا المالية في الهند، أعلنت شركة Meta عن استثمار ضخم بقيمة 900 مليون دولار في منصة CRED للمدفوعات، فيما يتنحى مؤسسها كونال شاه عن منصب الرئيس التنفيذي للانضم
![كونال شاه يتولى قيادة WhatsApp عالمياً بينما تستثمر Meta 900 مليون دولار في Cred](21540067693" property="fb:pages"><link href="https://economictimes.indiatimes.com/icons/etfavicon.ico" type="image/x-icon" rel="shortcut icon"><link href="https://economictimes.indiatimes.com/thumb/width-120,height-120,msid-75267040/et.jpg" rel="apple-touch-icon"><link href="https://c.amazon-adsystem.com" rel="dns-prefetch"><link crossorigin="anonymous" href="https://c.amazon-adsystem.com" rel="preconnect"><meta content="index,follow" name="robots"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta content="117787264903013" property="fb:app_id"><meta content="556964827" property="fb:admins"><meta content="Kunal Shah heads to Meta; New-age IPO playbook" property="og:title"><meta content="Happy Tuesday! Kunal Shah has taken over as WhatsApp's chief, while Meta backs Cred in a major funding deal. This and more in todays ETtech Morning Dispatch." property="og:description"><meta content="The Economic Times" property="og:site_name"><meta content="website" property="og:type"><meta content="https://economictimes.indiatimes.com/tech/newsletters/morning-dispatch/kunal-shah-heads-to-meta-new-age-ipo-playbook/articleshow/131922789.cms" property="og:url"><meta content=){kind=icon}
كونال شاه يتولى قيادة WhatsApp عالمياً بينما تستثمر Meta 900 مليون دولار في Cred
في تحوّل مفاجئ يعيد رسم خريطة القيادات التقنية العالمية، أعلنت Meta يوم الإثنين عن تعيين رائد الأعمال الهندي كونال شاه رئيساً تنفيذياً جديداً لتطبيق WhatsApp، بالتزامن مع ضخ استثمار ضخم بقيمة 900 مليو