ل حملة برمجيات خبيثة متنكرة في صورة تحديث لنظام التشغيل ويندوز 11 يُعرّض هذا الأمر أمن مستخدمي نظام تشغيل مايكروسوفت للخطر. فباستخدام حيلة تحديث تراكمي للإصدار 24H2، يخدع المهاجمون الضحايا لتثبيت برنامج خبيث لسرقة البيانات على أجهزتهم، قادر على سرقة كلمات المرور والمعلومات المصرفية وبيانات تسجيل الدخول لخدمات متعددة.
تعتمد عملية الاحتيال على موقع ويب ينسخ بوابة دعم مايكروسوفت بشكل شبه كامليحتوي على نص تقني، ورقم مرجعي لقاعدة المعرفة، وزر تنزيل أزرق لافت للنظر. والنتيجة هي فخ مقنع للغاية يتجاوز حتى فحص المستخدمين ذوي الخبرة، والأكثر إثارة للقلق أنه لم يتم اكتشافه في البداية من قبل أي من محركات مكافحة الفيروسات الرئيسية.
كيف يعمل تحديث ويندوز 11 المزيف
يبدأ الهجوم في موقع احتيالي مسجل بنطاق مشابه جداً لنطاقات مايكروسوفت الرسمية، وهي تقنية تعرف باسم typosquattingأحد المجالات التي تم اكتشافها، على سبيل المثال، هو microsoft-update.supportوالتي يمكن الخلط بينها بصريًا وبين صفحة شرعية، خاصة إذا وصل المستخدم إليها من خلال رابط في بريد إلكتروني أو رسالة.
على هذا الويب مجرمي الإنترنت إنهم يقدمون ما يفترض أنه "تحديث تراكمي لنظام التشغيل Windows 11 24H2"يتضمن المحتوى وصفًا لتحديثات أمان النواة، وتحسينات قائمة ابدأ، وتحسينات الأداء، وكل ذلك مُقدّم بأسلوب قاعدة معارف مايكروسوفت المعتاد. والهدف هو أن يشعر المستخدم بأنه يُنزّل شيئًا أساسيًا للحفاظ على تحديث جهازه.
بالنقر على زر التنزيل الأزرق الكبير، يحصل الضحية على ملف يسمى WindowsUpdate1.0.0.msi (مع اختلافات طفيفة في الاسم في بعض الحالات)، بحجم تقريبي يبلغ 83 ميجابايت. للوهلة الأولى، تبدو الحزمة مثالية: فقد تم إنشاؤها باستخدام مجموعة أدوات WiX، وهي أداة شرعية لإنشاء مثبتات ويندوز، وتذكر خصائصها "مايكروسوفت" كمؤلف، مع تعليقات تصفها بأنها مثبت مكونات تحديث ويندوز.
توصل الباحثون إلى أن حتى رقم مقالة قاعدة المعرفة المعروضة على الموقع الإلكتروني يبدو معقولاً.يعزز هذا الشعور بأنها رقعة أصلية. كل هذا يعني أن معظم المستخدمين لا يجدون أي شيء مريب، خاصةً وأن الملف لا يُثير أي تنبيهات أمنية فورية.
بمجرد أن يقوم المستخدم بتشغيل برنامج تثبيت MSI، فإنه يعرض تطبيق قائم على Electron في مجلد AppData من النظام (على سبيل المثال، في C:\Users\<USUARIO>\AppData\Local\Programs\WindowsUpdate\). الملف الثنائي الرئيسي، الذي أعيدت تسميته إلى WindowsUpdate.exe، هو في الواقع ملف تنفيذي قياسي لـ Electron، وهو ما يفسر سبب اعتبار العديد من محركات مكافحة الفيروسات له في البداية ملفًا نظيفًا.
أداة خفية لسرقة البيانات في Electron و Python
يكمن الجزء الخطير حقاً في... كود جافا سكريبت مُضمّن داخل تطبيق إلكترونهذا مجال لا تقوم العديد من حلول الأمان بتحليله بدقة. فهو يحتوي على العديد من الملفات شديدة التعتيم التي تتضمن منطق برنامج سرقة المعلومات، مع وظائف التشفير (على سبيل المثال، القائمة على pbkdf2 وSHA-256 وAES) وفحوصات صحة الحملة.
إلى جانب الملف التنفيذي الرئيسي، يتم تضمين نص برمجي. AppLauncher.vbsوالذي يعمل كبرنامج تشغيل. يتم تنفيذ هذا الملف بواسطة cscript.exeيُضفي هذا على العملية مظهرًا روتينيًا في سجلات النظام. ومن هناك، يُشغّل البرنامج الخبيث مُفسّر بايثون مُعاد تسميته (على سبيل المثال، _winhost.exe)، والذي يقوم بفك ضغط بيئة بايثون كاملة إلى مسارات مؤقتة مثل C:\Users\<USUARIO>\AppData\Local\Temp\WinGet\tools\.
ثم يقوم البرنامج الخبيث بتثبيت عدة حزم بايثون النموذجية لأدوات التجسس الرقمي، بما في ذلك:
- pycryptodome، لتشفير المعلومات التي تم جمعها قبل إرسالها.
- psutil، مما يسمح بفحص العمليات الجارية واكتشاف بيئات التحليل أو بيئات الاختبار المعزولة.
- pywin32 y بايثون لنظام التشغيل ويندوزوالتي تسهل الوصول المتقدم إلى مكونات نظام التشغيل Windows الداخلية.
من تلك البيئة، يبدأ سارق المعلومات في التفاعل مع نظام التشغيل والتطبيقات المثبتةفي غضون ثوانٍ، يجمع البرنامج عنوان IP العام للجهاز وموقعه الجغرافي التقريبي، ويتصل بخدمات مثل myexternalip.com e ip-api.comتتيح هذه البصمة الرقمية الأولية للمهاجمين معرفة البلد الذي تحدث منه العدوى، وإذا رغبوا في ذلك، يمكنهم تكييف الحملة مع هذا السياق.
بعد هذا التعرف، يتواصل البرنامج الخبيث مع البنية التحتية للقيادة والسيطرة (C2)باستخدام نطاقات مستضافة على خدمات شائعة مثل Render وCloudflare Workers، على سبيل المثال datawebsync-lvmv.onrendercom y sync-service.system-telemetry.workersdevيتم اختيار أسماء مثل "system-telemetry" بعناية لتمر كحركة مرور مراقبة شرعية في مراجعة سريعة لسجلات الشبكة.
يتم استخراج المعلومات المسروقة من خلال منصات تخزين الملفات كما store8.gofileioتتيح هذه الخدمات تحميل البيانات بشكل مجهول ومؤقت. وقد أصبح هذا النوع من الخدمات أداة شائعة لدى الجماعات الإجرامية لأنه لا يترك أثراً يُذكر يربط القائمين عليه بشكل مباشر.
ما هي البيانات التي يسرقها، ولماذا يُعدّ هذا التهديد خطيراً للغاية؟
بمجرد تفعيل البرنامج، فإنه يتصرف مثل سارق معلومات بارع للغاية (سارق معلومات)هدفهم الرئيسي هو الحصول على أي شيء قد يكون له قيمة اقتصادية أو يسمح بالوصول إلى الحسابات الشخصية وحسابات الشركات.
البيانات التي يمكنك استخراجها تتضمن بيانات الاعتماد المخزنة في متصفحات الويب (أسماء المستخدمين وكلمات المرور)، وملفات تعريف الارتباط الخاصة بالجلسة، والنماذج المحفوظة، وتفاصيل طرق الدفع المرتبطة بالمتصفح. عمليًا، يعني هذا تسليم صلاحية الوصول إلى البريد الإلكتروني، ووسائل التواصل الاجتماعي، والخدمات المصرفية عبر الإنترنت، وغيرها من الخدمات الأساسية.
كما أن البرامج الضارة قادرة على تطبيقات تغيير الإلكترونمثل منصة المراسلة الشهيرة ديسكورد. يقوم الكود المكتشف بتعديل ملفات التطبيق لاعتراض رموز المصادقة ومعلومات تسجيل الدخول وبيانات الدفع المرتبطة بها، ويغير عملية التحقق بخطوتين في كل مرة يفتح فيها المستخدم البرنامج.
بالإضافة إلى جمع البيانات الضخمة، لوحظ نشاط مكثف مع تنفيذ متكرر لملف taskkill.exeيشير هذا إلى أن برنامج سرقة المعلومات يُغلق عمليات الأمان والمتصفحات، وربما برامج خبيثة أخرى منافسة، قبل بدء عملية السرقة. وبهذه الطريقة، يقلل من احتمالية التدخل ويزيد من فعالية عملية الاستخراج.
يتم كل هذا دون عرض أي نوافذ غير عادية أو تحذيرات مرئية للشخص المتضرر. قد يكون الأثر الوحيد هو أداء غير طبيعي طفيف للمعدات أو ظهور اختصارات لا يتذكر المستخدم إنشاءها، وهو أمر يسهل التغاضي عنه في الحياة اليومية.
كيف يتمكن من التغلب على برامج مكافحة الفيروسات والبقاء على النظام؟
أحد الجوانب التي تثير قلق الخبراء بشكل خاص هو أنه في وقت التحليل الأولي، لم يكتشف أي من محركات مكافحة الفيروسات الـ 69 الموجودة في VirusTotal الملف التنفيذي الرئيسي لم يُصنّف الجميع برنامج تشغيل VBS على أنه خبيث، ولم يُدرك معظم الناس أنه يُمثّل تهديدًا. لا يُعزى الأمر إلى فشلٍ فردي في حلّ مُحدّد، بل هو نتيجةٌ لبنية الهجوم المُصمّمة بعناية.
من جهة، Electron Shell هو برنامج ثنائي شرعي يتم توزيعه واستخدامه من قبل ملايين التطبيقات، لذا فهو لا يثير الشكوك عند استخدامه بمعزل عن غيره. من ناحية أخرى، فإن المنطق الخبيث مخفي في نصوص جافا سكريبت ووحدات بايثون شديدة التشفير يتم تنزيلها أو نشرها أثناء التشغيل، وهو أسلوب يجعل من الصعب إنشاء توقيعات ثابتة فعالة أو قواعد YARA.
كل مكون من مكونات السلسلة - برنامج تثبيت MSI، ومشغل VBScript، وتطبيق Electron، ومفسر Python الذي تمت إعادة تسميته، والاتصال بخوادم C2 - يبدو الأمر غير ضار عند النظر إليه بشكل منفصل.إن التحليل الذي يربط جميع الخطوات، من التثبيت إلى تسريب البيانات، هو وحده الذي يسمح لنا برؤية الأمر برمته كعملية برمجيات خبيثة مُحكمة التنظيم.
ولضمان استمراريته، يقوم الكود الخبيث بتنفيذ تغييرات في سجل ويندوزوبالتحديد، يقوم بإنشاء مدخل يسمى الأمن والصحة في المفتاح HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run، تهدف إلى WindowsUpdate.exe داخل مجلد برامج المستخدم. وباستخدام اسم يُذكّر بمكون صحة أمان نظام التشغيل ويندوز، فإنه يمرّ دون أن يلاحظه أحد، حتى من قِبل الفنيين.
وفي الوقت نفسه، يقوم البرنامج الخبيث بإنشاء اختصار وهمي باسم Spotify.lnk في مجلد بدء التشغيل بقائمة برامج المستخدم. قد يظن أي شخص يرى هذا الاختصار أنه قام ببساطة بضبط Spotify ليبدأ مع النظام، دون أن يدرك أنه في الواقع يساعد برنامج سرقة المعلومات على العمل عند كل تسجيل دخول.
ركزت الحملة على أوروبا والمخاطر التي يواجهها المستخدمون في إسبانيا
كانت العملية تم التعرف عليه مبدئياً من قبل شركة Malwarebytes في حملة موجهة للجمهور الناطق بالفرنسيةظهر الموقع الاحتيالي بالكامل باللغة الفرنسية واستهدف مستخدمي نظام التشغيل ويندوز 11 في فرنسا، وهي دولة تضررت بشدة في السنوات الأخيرة من التسريبات الكبيرة للبيانات الشخصية.
كشفت حوادث مختلفة، مثل الاختراقات التي تعرضت لها كبرى شركات الإنترنت والمرافق العامة، معلومات ملايين المواطنين: الأسماء والعناوين وأرقام الهواتف وحتى التفاصيل المصرفية. هذا السياق يُسهّل على المهاجمين استغلال هذه المعلومات. قواعد البيانات التي تم تصفيتها بحملات تصيد احتيالي محلية للغاية، مثل هذا التحديث المزيف لنظام ويندوز باللغة الفرنسية والذي يتطابق تمامًا مع ما يتوقعه العديد من المستخدمين.
على الرغم من أن الصفحة المكتشفة كانت مكتوبة باللغة الفرنسية، إلا أن الخبراء يحذرون من أن يتم تكرار هذا النوع من العمليات بسرعة في لغات وبلدان أخرىتُعد إسبانيا، إلى جانب دول أوروبية أخرى مثل ألمانيا وإيطاليا والمملكة المتحدة، من بين الأهداف المعتادة لشبكات سرقة بيانات الاعتماد، لذلك لن يكون من المستغرب رؤية نسخ إسبانية تستهدف المستخدمين في المنطقة.
بالنسبة للمستخدمين الإسبان والأوروبيين الذين يستخدمون نظام التشغيل ويندوز 11، فإن الخطر واضح: ما عليك سوى اتباع رابط يتم استلامه عبر البريد الإلكتروني أو الرسائل النصية القصيرة أو وسائل التواصل الاجتماعي والذي يؤدي إلى صفحة دعم مزعومة تابعة لشركة مايكروسوفت. لينتهي الأمر بتثبيت نفس نوع برامج سرقة المعلومات. إن حقيقة أن ملف MSI يحاكي بشكل مقنع للغاية التصحيح الرسمي تجعل عملية الخداع سهلة التنفيذ.
في هذا السياق، تُصبح الشركات في المنطقة، ولا سيما الشركات الصغيرة والمتوسطة الحجم والإدارات العامة ذات الموارد المحدودة في مجال الأمن السيبراني، هدفًا جذابًا. إذ يُمكن لجهاز واحد مُخترق على شبكة الشركة أن يُسهّل سرقة بيانات اعتماد الوصول عن بُعد، وحسابات البريد الإلكتروني المهنية، وأدوات العمل الداخلية.
كيف تعرف ما إذا كنت مصابًا وما هي الخطوات التي يجب اتخاذها
إذا كنت تعتقد أنك قد قمت مؤخرًا بتثبيت تحديث يدوي مزعوم لنظام التشغيل ويندوز 11 خارج القنوات الرسميةيُنصح بالتحرك بسرعة ومراجعة بعض الجوانب الرئيسية للنظام. لا داعي للذعر، ولكن من المهم التحقق من وجود أي علامات واضحة على الاختراق.
بادئ ذي بدء ، فمن المستحسن تحقق من مفتاح التشغيل التلقائي في سجل ويندوزمن قائمة التشغيل (مفتاح Windows + R)، اكتب regedit وانتقل إلى HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runإذا ظهر إدخال يسمى الأمن والصحة يشير إلى ملف تنفيذي "WindowsUpdate.exe" داخل مجلدك AppDataإن أكثر الأمور حكمة هو التخلص منه.
ثانيًا، تحقق من مجلد بدء تشغيل قائمة البرنامج، وعادة ما تقع في C:\Users\<USUARIO>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\وجود طريق مختصر يسمى Spotify.lnk قد يكون عدم تذكر كيفية إعداده عرضًا آخر للعدوى.
يُنصح أيضاً بالبحث عن أي مجلد برنامج يحتمل أن يكون ضاراً وحذفه، على سبيل المثال C:\Users\<USUARIO>\AppData\Local\Programs\WindowsUpdate\بالإضافة إلى إزالة المحتوى المشبوه من المسارات المؤقتة مثل C:\Users\<USUARIO>\AppData\Local\Temp\WinGet\tools\تُستخدم هذه الدلائل لاستضافة ملف Electron القابل للتنفيذ، ومشغل VBS، وبيئة Python التي يستخدمها برنامج سرقة المعلومات.
وبمجرد القيام بذلك، يصبح الأمر ضرورياً قم بتغيير جميع كلمات المرور المحفوظة في متصفحك فوراً. وفي التطبيقات الحساسة، يجب اعتبار أي رموز جلسة أو ملفات تعريف ارتباط أو بيانات اعتماد مخزنة مفقودة، لا سيما تلك المرتبطة بالخدمات المصرفية عبر الإنترنت، والبريد الإلكتروني الرئيسي، ووسائل التواصل الاجتماعي، وخدمات العمل عن بُعد. يُنصح، كلما أمكن، بتفعيل أو تعزيز المصادقة الثنائية.
أفضل الممارسات لتجنب الوقوع ضحية لهذا النوع من عمليات الاحتيال
إن خط الدفاع الرئيسي ضد هذا التهديد لا يكمن في التكنولوجيا بقدر ما يكمن في عادات استخدام المستخدمعلى الرغم من أن الحملة مصممة بشكل جيد للغاية، إلا أن هناك عددًا من علامات التحذير وأفضل الممارسات التي تساعد على تقليل خطر الوقوع في الفخ بشكل كبير.
الشيء الأكثر أهمية هو لا تقم بتنزيل تحديثات ويندوز 11 من روابط خارجية يتم إرسالها عبر البريد الإلكتروني، أو الرسائل الفورية، أو وسائل التواصل الاجتماعي، أو مواقع الويب التابعة لجهات خارجية. تقوم مايكروسوفت بتوزيع التحديثات الأمنية من خلال أداتها المدمجة. تحديث ويندوز وفي حالات محددة، من خلال كتالوج تحديثات مايكروسوفت الرسمي (catalog.update.microsoft.com) أو الأدوات الرسمية مثل أداة إنشاء الوسائطينبغي اعتبار أي مصدر آخر مثيراً للريبة.
من الجيد أيضاً أن تعتاد على راجع شريط عنوان المتصفح بعنايةتُستضاف صفحات مايكروسوفت الأصلية دائمًا على نطاقات تنتهي بـ microsoft.comإذا كان العنوان يتضمن اختلافات مثل الشرطات الإضافية أو الكلمات الإضافية (مثل "support" أو "update" أو "helpdesk") أو نهايات نطاقات أخرى، فهناك احتمال كبير أن يكون عنوانًا وهميًا.
إذا تلقيت رسالة تُصر على ضرورة تثبيت "تحديث عاجل"إن التصرف الحكيم هو تجاهل الرابط والوصول إلى قائمة إعدادات ويندوز يدويًا. ابدأ > الإعدادات > تحديث Windows > التحقق من وجود تحديثات يمكنك التحقق مما إذا كانت هناك بالفعل تحديثات معلقة دون الاعتماد على مواقع ويب خارجية أو ملفات تم تنزيلها يدويًا.
بالإضافة إلى ذلك، قد يكون مفيدًا قم بتشغيل التحديثات التلقائية يُمكّن هذا النظام من تثبيت التحديثات الرسمية تلقائيًا دون الحاجة إلى تنزيلها يدويًا. وهذا لا يقلل فقط من خطر التعرض للاحتيال، بل يُساعد أيضًا في حماية الكمبيوتر من الثغرات الأمنية الحقيقية.
وأخيرًا، يُنصح بامتلاك حل أمني يجمع بين تحليل التوقيعات والكشف السلوكيرغم أن هذه الأنواع من الحملات قد تفلت في البداية من بعض برامج مكافحة الفيروسات، إلا أن التحديثات اللاحقة عادةً ما تتضمن قواعد محددة لحظرها. ومع ذلك، من المهم تذكر أن عدم وجود تنبيهات لا يضمن الأمان المطلق.
يوضح تحديث ويندوز 11 المزيف 24H2 مدى... لقد حسّنت برامج سرقة البيانات أساليبهاتجمع هذه البرامج الخبيثة بين برامج تثبيت شرعية، وأغلفة تبدو غير ضارة، وحمولات مشفرة للتخفي بين عمليات النظام العادية. في مثل هذه الحالة، أصبح التزام الهدوء، والحذر من التنزيلات الخارجية، والحرص الدائم على التحقق من مصدر التحديثات، عنصرًا أساسيًا في الأمن اليومي للمستخدمين الأفراد والشركات في إسبانيا وبقية أوروبا.
