يتزايد لجوء المخترقين إلى أساليب متطورة ومعقدة بهدف التسلل إلى أجهزة الكمبيوتر وسرقة البيانات المخزنة. وفي هذا السياق، ظهرت حملة خبيثة جديدة تستغل أدوات تفعيل نظام التشغيل ويندوز أو حزمة أوفيس المزيفة كطريق للوصول إلى الأنظمة المستهدفة.
- ✅ اكتشاف حملة تضليل تستخدم نطاق تفعيل ويندوز وهمي يُعرف باسم MAS (نصوص تفعيل مايكروسوفت) لنشر البرمجيات الخبيثة.
- ✅ استغلال أداة PowerShell المدمجة في النظام عبر نصوص خبيثة لتوزيع برمجية Cosmali Loader الضارة.
- ✅ ظهور رسائل تحذير منبثقة على أنظمة المستخدمين تفيد بالإصابة ببرمجية Cosmali Loader، مما يشير إلى نجاح الاختراق.
- ✅ سهولة الوقوع في الفخ بسبب التشابه الكبير بين النطاق الشرعي والنطاق المزيف المستخدم في عملية التوزيع.
آلية عمل الهجوم الخبيث المرتبط بتنشيط ويندوز
تعتمد هذه الحملة الخبيثة على انتحال صفة أداة Microsoft Activation Scripts لتوزيع نصوص PowerShell ضارة. هذه النصوص تستغل الوظائف المدمجة في نظام ويندوز لنشر برمجية Cosmali Loader الخبيثة. وقد أبلغ عدد كبير من المستخدمين على منصات مثل Reddit عن ظهور رسائل تحذيرية مباشرة تفيد بإصابة أنظمتهم بهذه البرمجية.
تشير التقارير الأمنية إلى أن المهاجمين قاموا بإنشاء نطاق يحاكي النطاق الشرعي المستخدم في تعليمات التنشيط الرسمية، مما يسهل خداع الضحايا الذين يخطئون في كتابة عنوان الموقع الصحيح. إذا كنت تشك في إصابة جهازك، فإن الحل الأكثر أمانًا هو إعادة تثبيت نظام ويندوز بالكامل لتجنب تداعيات الإصابة.
خطوات التحقق من الإصابة وإجراءات الحماية
يكمن الخطر الأكبر في التشابه الحرفي بين النطاق المزور والنطاق الأصلي، مما يوقع العديد من المستخدمين في فخ إدخال العنوان الخاطئ. إذا لم تظهر لك رسائل التحذير المنبثقة، لا يزال هناك مسار آخر للتحقق من وجود الاختراق.
لإجراء الفحص، قم بفتح "مدير المهام" (Task Manager) في نظام ويندوز، والذي يمكن الوصول إليه عادةً عبر الضغط على CTRL + Shift + Esc. بمجرد فتح الأداة، ابحث بعناية عن أي عمليات غير مألوفة أو مشبوهة تعمل تحت اسم أداة PowerShell.
في حال اكتشاف أي عملية مشبوهة، يجب عليك تحديث برنامج مكافحة الفيروسات فورًا وإجراء فحص شامل للنظام لتنظيفه. تجدر الإشارة إلى أن برمجية Cosmali Loader لا تكتفي بالتسلل فحسب، بل تقوم بتوزيع مكونات خطيرة أخرى، مثل برمجيات تعدين العملات الرقمية وبرنامج XWorm للتحكم عن بعد.
من اللافت للنظر أن مصدر إرسال رسائل التحذير للمستخدمين لا يزال غير واضح؛ ويُرجح أن يكون باحثًا أمنيًا حسن النية تمكن من الوصول إلى لوحة تحكم البرمجية الخبيثة واستخدمها لتنبيه الضحايا المحتملين حول الثغرة الأمنية المكتشفة.
كيف يمكنني التأكد من أنني لم أستخدم النطاق المزيف لتفعيل ويندوز؟
إذا كنت قد استخدمت أدوات تفعيل موثوقة أو حصلت على ترخيص رسمي، فمن غير المرجح أن تكون قد تأثرت بهذا المسار. يجب التحقق من سجلات PowerShell وأي رسائل تحذير ظهرت على الشاشة مؤخرًا للتأكد من سلامة العملية.
ما هي المخاطر الرئيسية لبرمجية Cosmali Loader؟
تتمثل المخاطر الرئيسية في قيام برمجية Cosmali Loader بتثبيت مكونات إضافية ضارة، أبرزها برامج استغلال لتعدين العملات الرقمية، وبرنامج التجسس والتحكم عن بعد المعروف باسم XWorm، مما يعرض بياناتك للخطر الشديد.
هل إعادة تثبيت ويندوز هي الحل الوحيد إذا تم اكتشاف الإصابة بالبرمجيات الخبيثة؟
نعم، في حال التأكد من الإصابة بهذه البرمجيات الخبيثة العميقة، يوصى بشدة بإجراء إعادة تثبيت كاملة لنظام ويندوز (Format) لضمان إزالة جميع المكونات الضارة التي قد تكون متجذرة في النظام، وتوفير بيئة آمنة جديدة.
ما هو الفرق الجوهري بين النطاق الشرعي والنطاق المزيف المستخدم في الهجوم؟
يكمن الفرق الجوهري في اختلاف حرف واحد فقط في اسم النطاق، وهو تغيير دقيق يكفي لخداع المستخدمين الذين يكتبون العنوان يدويًا، مما يؤدي إلى توجيههم إلى الخوادم الخبيثة بدلاً من الخوادم الشرعية لـ Microsoft Activation Scripts.
ماذا أفعل إذا رأيت عملية PowerShell تعمل بشكل غريب في مدير المهام؟
إذا لاحظت نشاطًا غير طبيعي لـ PowerShell، يجب عليك عزل الجهاز عن الشبكة فورًا، ثم تحديث برنامج الحماية من الفيروسات لديك، وإجراء فحص شامل وعميق للنظام لتحديد وإزالة أي برمجيات خبيثة نشطة.
🔎 في الختام، تبرز هذه الحادثة أهمية توخي أقصى درجات الحذر عند البحث عن أدوات تفعيل "مجانية" أو "مبسطة" لأنظمة التشغيل والبرامج، حيث تتحول هذه الأدوات المغرية إلى أبواب خلفية للمتسللين لنشر برمجيات تجسس وتعدين خطيرة. إن التحقق المزدوج من مصادر البرامج وتجنب المواقع المشبوهة يظل خط الدفاع الأول ضد هذه التهديدات المتطورة.
قم بالتعليق على الموضوع