بِسْمِ اللَّهِ الرَّحْمَنِ الرَّحِيمِ 

الْحَمْدُ لِلَّهِ رَبِّ الْعَالَمِينَ، وَصَلَّى اللَّهُ وَسَلَّمَ وَبَارَكَ عَلَى عَبْدِهِ وَرَسُولِهِ نَبِيِّنَا مُحَمَّدٍ وَعَلَى آلِهِ وَصَحْبِهِ أَجْمَعِينَ
 السَّلَامُ عَلَيْكُمْ وَرَحْمَةُ اللَّهِ وَبَرَكَاتُهُ

موقع مزيف يوزع تحديثات وهمية لنظام ويندوز 11 



في تطور خطير للأمن السيبراني، كشفت شركة Malwarebytes للأمن السيبراني عن حملة قرصنة متطورة تستهدف مستخدمي نظام ويندوز 11، حيث يستخدم القراصنة موقعًا إلكترونيًا مزيفًا يحاكي بدقة موقع دعم مايكروسوفت الرسمي لتوزيع "تحديثات" وهمية تحمل في طياتها برمجيات خبيثة قادرة على سرقة كلمات المرور والبيانات المصرفية الحساسة .
طبيعة التهديد وآلية عمله
الموقع المزيف: نسخة طبق الأصل من مايكروسوفت
يستخدم القراصنة اسم نطاق مشابهًا للنطاق الرسمي، وهو "microsoft-update[.]support"، في حين أن النطاق الحقيقي لدعم مايكروسوفت هو "support.microsoft.com" . هذا النوع من الاحتيال يُعرف بـ "typosquatting" أو احتلال النطاقات المشابهة، حيث يعتمد على سرعة المستخدم وعدم انتباهه للتفاصيل الدقيقة في عنوان الموقع.
يتميز الموقع المزيف بجودة عالية في التصميم، حيث تم نسخ شعارات مايكروسوفت وألوان الواجهة وحتى النصوص القانونية في تذييل الصفحة بدقة متناهية . يقدم الموقع نفسه على أنه صفحة دعم رسمية تقدم "تحديثًا تراكميًا" لنظام ويندوز 11، وتحديدًا للإصدار 24H2، مع تخصيص رقم تعريف قاعدة المعارف (KB) لجعله يبدو أكثر مصداقية .
حزمة التحديث الخادعة
عند النقر على زر التنزيل الأزرق الكبير، يحصل المستخدم على ملف بحجم 83 ميغابايت يحمل اسم "WindowsUpdate 1.0.0.msi" . وقد تم تصميم هذا الملف بعناية فائقة لخداع حتى المستخدمين المتمرسين، حيث تشير خصائص الملف إلى أن الجهة المُنتِجة هي "Microsoft" وأن عنوانه "قاعدة بيانات التثبيت" (Installation Database) .
استخدم القراصنة أدوات تطوير شرعية تمامًا مثل WiX Toolset 4.0.0.5512، وهو إطار عمل مفتوح المصدر يستخدم بشكل شائع لإنشاء حزم التثبيت . هذا الاستخدام للأدوات الشرعية يجعل من الصعب على برامج مكافحة الفيروسات اكتشاف الملف الخبيث، لأنه لا يحتوي على التوقيعات البرمجية النموذجية للبرمجيات الضارة.
الهندسة التقنية للبرمجية الخبيثة: نموذج متطور متعدد الطبقات
ما يميز هذه الحملة هو البنية التقنية المعقدة للبرمجية الخبيثة، والتي صممت لتجنب اكتشافها من خلال عدة طبقات متداخلة :
الطبقة الأولى: غلاف Electron البريء
عند تنفيذ الملف، يقوم بتثبيت تطبيق يعتمد على إطار Electron - وهو إطار شرعي يستخدم لبناء تطبيقات سطح المكتب باستخدام تقنيات الويب . هذا الإطار يستخدم من قبل آلاف التطبيقات المشروعة، مما يجعله يمر دون إثارة أي شكوك لدى برامج الأمان. الملف التنفيذي الرئيسي "WindowsUpdate.exe" هو في الحقيقة نسخة من "electron.exe" الأصلي .
الطبقة الثانية: سكريبت Visual Basic
بجانب غلاف Electron، يوجد ملف "AppLauncher.vbs" وهو سكريبت بلغة Visual Basic. يستخدم هذا السكريبت أداة "cscript.exe" المدمجة في ويندوز لتشغيل التطبيق، وهي تقنية تعرف بـ "العيش على الأرض" (Living-off-the-land) حيث يستخدم القراصنة أدوات نظام شرعية بدلاً من تحميل أدوات خبيثة جديدة .
الطبقة الثالثة: محرك Python المخفي
يقوم تطبيق Electron بتشغيل عملية " _winhost.exe" - وهو في الحقيقة محرك Python 3.10 تمت إعادة تسميته ليبدو كعملية نظام شرعية . يقوم هذا المحرك بفك ضغط بيئة Python كاملة في مجلد مؤقت، ثم يقوم بتثبيت حزمة من المكتبات البرمجية المصممة خصيصًا لسرقة البيانات، بما فيها:

pycryptodome: لتشفير البيانات المسروقة
psutil: لفحص العمليات النشطة واكتشاف بيئات الاختبار الأمني
pywin32: للوصول العميق لواجهة برمجة تطبيقات ويندوز 
آلية السرقة والاستمرارية في النظام
جمع البيانات الاستخباراتية
بمجرد تشغيل البرمجية الخبيثة، تقوم فورًا بالاتصال بموقعي "www.myexternalip.com" و "ip-api.com" للحصول على عنوان IP الحقيقي للضحية وتحديد موقعه الجغرافي . هذه الخطوة الاستطلاعية تسمح للقراصنة بتحديد هوية الضحية وموقعه قبل الشروع في سرقة البيانات.
أهداف السرقة
تستهدف البرمجية الخبيثة نوعين رئيسيين من البيانات:
البيانات المخزنة في المتصفحات: تقوم البرمجية باستخراج كلمات المرور المحفوظة، معلومات بطاقات الائتمان، وملفات تعريف الارتباط (cookies) للجلسات النشطة من جميع المتصفحات المثبتة على الجهاز .
بيانات تطبيق Discord: نظرًا لأن تطبيق Discord مبني أيضًا على إطار Electron، تستطيع البرمجية الخبيثة التلاعب بكود التطبيق لاعتراض رموز الدخول (tokens)، تفاصيل الدفع، وحتى تغييرات المصادقة الثنائية .
آليات الاستمرارية الخبيثة
لضمان استمرار عمل البرمجية الخبيثة حتى بعد إعادة تشغيل الجهاز، تستخدم آليتين منفصلتين :
إدخال في سجل النظام (Registry) : تقوم بإضافة قيمة باسم "SecurityHealth" في مفتاح التشغيل التلقائي. هذا الاسم متطابق مع اسم خدمة أمان ويندوز الشرعية، مما يجعله يمر دون شك.
اختصار مخفي : تقوم بإنشاء ملف اختصار باسم "Spotify.lnk" في مجلد بدء التشغيل للمستخدم، متظاهرة بأنها تطبيق Spotify الشرعي.
قنوات الاتصال وسرقة البيانات
تستخدم البرمجية الخبيثة بنية تحتية معقدة من الخوادم للتواصل مع القراصنة :
خادم قيادة وتحكم (C2) على منصة Render
وكيل على Cloudflare Workers تحت اسم "system-telemetry" لإخفاء حركة المرور كبيانات نظام شرعية
خدمة مشاركة الملفات "Gofile" لرفع البيانات المسروقة بشكل مجهول
الاستهداف الجغرافي: لماذا فرنسا تحديدًا؟
ركزت هذه الحملة بشكل خاص على المستخدمين الناطقين بالفرنسية، مع موقع كامل باللغة الفرنسية . هذا الاستهداف ليس عشوائيًا، بل يرتبط بموجات هائلة من اختراقات البيانات التي شهدتها فرنسا مؤخرًا :
شركة Free (أكتوبر 2024) : اختراق بيانات 19 مليون مشترك، بما فيها تفاصيل الحسابات المصرفية
شركة SFR : اختراق بيانات العملاء شمل الأسماء والعناوين وأرقام الهواتف والبيانات المصرفية

France Travail : اختراق سجلات 43 مليون شخص من الباحثين عن عمل على مدى عقدين
وجود هذه الكميات الهائلة من البيانات المسربة يجعل فرنسا هدفًا جذابًا، حيث يمكن للقراصنة استخدام المعلومات الحقيقية عن الضحايا لجعل عملية الاحتيال أكثر إقناعًا.
تحدٍ كبير للأمن السيبراني: تجاوز أنظمة الحماية
في وقت التحليل، أظهرت خدمة VirusTotal - التي تفحص الملفات بـ 69 محرك أمان مختلف - صفر اكتشافات للملف التنفيذي الرئيسي، وصفر اكتشافات لسكريبت Visual Basic . هذا الأداء الضعيف لأنظمة الأمان ليس فشلًا في أداة معينة، بل هو نتيجة متعمدة لهندسة البرمجية الخبيثة:
الغلاف الخارجي (Electron) هو تطبيق شرعي بالكامل ولا يحتوي على أي كود خبيث واضح
الكود الخبيث مخفي داخل ملفات JavaScript مشوشة (Obfuscated) يصعب تحليلها
يتم تحميل مكونات Python الخبيثة في وقت التشغيل فقط، مما يجعلها غير موجودة في الملف الأصلي عند الفحص 
إجراءات الحماية والاستجابة للاختراق
كيفية التحديث بأمان
تؤكد مايكروسوفت وشركات الأمن السيبراني أن الطريقة الآمنة الوحيدة للحصول على تحديثات ويندوز هي من خلال :
إعدادات النظام : الذهاب إلى الإعدادات > Windows Update
كتالوج مايكروسوفت الرسمي للتحديثات : catalog.update.microsoft.com
لا تقوم مايكروسوفت أبدًا بدفع التحديثات عبر إعلانات فيسبوك أو مواقع ويب عشوائية .
خطوات الاستجابة إذا كنت ضحية
إذا كنت تعتقد أنك قمت بتنزيل هذا التحديث المزيف، اتبع هذه الخطوات فورًا :
إزالة مفاتيح التسجيل :
افتح Regedit واذهب إلى HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
احذف المدخل المسمى "SecurityHealth"
إزالة ملفات البدء التلقائي :
احذف ملف "Spotify.lnk" من مجلد Startup الخاص بالمستخدم
حذف الملفات الخبيثة :
احذف مجلد WindowsUpdate الموجود في AppData\Local\Programs\
نظف المجلد المؤقت WinGet\tools في AppData\Local\Temp\
تغيير كلمات المرور :
افترض أن جميع كلمات المرور المخزنة في المتصفح قد تم اختراقها
قم بتغييرها فورًا من جهاز مختلف ونظيف
تفعيل المصادقة الثنائية (2FA/MFA) : خاصة للحسابات المالية والبريد الإلكتروني
فحص كامل للنظام : باستخدام برنامج أمان محدث يحتوي على قدرات الكشف السلوكي
الخلاصة
تمثل هذه الحملة قفزة نوعية في تطور البرمجيات الخبيثة، حيث تجمع بين الهندسة الاجتماعية المتقنة والتقنيات البرمجية المتطورة متعددة الطبقات لتجاوز أنظمة الأمان التقليدية. الرسالة الأساسية للمستخدمين هي: لا تثق أبدًا بأي تحديث يتم تحميله من خارج إعدادات ويندوز الرسمية، بغض النظر عن مدى إقناع الموقع الذي يقدمه. الأمن الرقمي لم يعد مجرد تثبيت برنامج مكافحة فيروسات، بل أصبح يتطلب يقظة دائمة وفهمًا لأساليب الاحتيال الحديثة.

 

0 تعليقات

(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))

Emoji
(y)
:)
:(
hihi
:-)
:D
=D
:-d
;(
;-(
@-)
:P
:o
:>)
(o)
:p
(p)
:-s
(m)
8-)
:-t
:-b
b-(
:-#
=p~
x-)
(k)