أثارت حملة برمجيات خبيثة مكتشفة حديثاً قلق الخبراء الأمنيين، حيث كشفت عن أسلوب مبتكر يتيح للمهاجمين تعطيل برنامج مكافحة الفيروسات الافتراضي في نظام ويندوز 11 دون أن يشعر المستخدم بأي نشاط مريب. هذا التهديد لا يعتمد على الثغرات التقليدية، بل يتلاعب بآليات عمل النظام نفسه ليترك الجهاز مكشوفاً تماماً أمام الهجمات اللاحقة.
ملخص النقاط الجوهرية للتهديد الجديد
كيف تخترق البرمجية الخبيثة نظام ويندوز 11؟
وفقاً لتقرير صادر عن باحثي شركة فورتينت، فإن هذا التهديد يتجاوز الدفاعات التقنية من خلال استغلال السلوكيات المشروعة لنظام ويندوز. تبدأ الرحلة بملف مضغوط يحتوي على اختصارات تبدو غير ضارة، ولكن بمجرد فتحها، يتم تشغيل نصوص PowerShell البرمجية التي تتخطى سياسات الأمان وتشرع في تحميل المكونات الضارة.
الخدعة الكبرى تكمن في كيفية التعامل مع Microsoft Defender؛ حيث يقوم البرنامج الخبيث بإنشاء كيان أمني وهمي على النظام. وبما أن نظام ويندوز مصمم لتعطيل "ديفندر" تلقائياً عند اكتشاف برنامج حماية آخر نشط، فإن البرمجية الخبيثة تستغل هذا المنطق لإيقاف الحماية دون إرسال أي تنبيهات للمستخدم.
السيطرة الكاملة وسرقة البيانات الحساسة
لا يتوقف الأمر عند تعطيل الحماية فحسب، بل يمتد ليشمل شل حركة أدوات النظام الأساسية. يقوم المهاجمون بتعطيل "محرر التسجيل" (Registry Editor)، و"بيئة استعادة النظام"، وحتى "مربع حوار التشغيل"، وذلك باستخدام أوامر إدارية مشروعة تمنع المستخدم من محاولة إصلاح النظام أو اكتشاف الخلل.
بعد تأمين الساحة، يتم نشر حصان طروادة للوصول عن بعد (RAT)، والذي يمتلك قدرات هائلة على سرقة بيانات المتصفح، كلمات المرور المخزنة، وحتى معلومات محافظ العملات المشفرة. ومن المثير للاهتمام أن حركة البيانات الخبيثة تندمج مع الاتصالات العادية لأن المكونات مستضافة على خوادم موثوقة مثل GitHub، مما يجعل اكتشافها من قبل أدوات مراقبة الشبكة أمراً في غاية الصعوبة.
هل يتطلب هذا الهجوم وجود ثغرات أمنية غير مكتشفة في ويندوز 11؟
لا، المثير للدهشة أن الهجوم لا يحتاج إلى أي ثغرات تقنية (Zero-day). بدلاً من ذلك، يعتمد بالكامل على "خداع" منطق النظام واستغلال الميزات المشروعة التي صممها مطورو مايكروسوفت لتسهيل عمل برامج الحماية الخارجية.
كيف يمكن للبرمجية الخبيثة أن تعطل Microsoft Defender دون تنبيه؟
تقوم البرمجية بتسجيل نفسها كبرنامج مكافحة فيروسات نشط ومعتمد لدى النظام. وبموجب سياسة ويندوز التي تمنع تعارض برامج الحماية، يتم إغلاق Microsoft Defender تلقائياً لإفساح المجال للبرنامج الجديد (الوهمي في هذه الحالة)، وهو ما يتم بصمت تام.
ما هي المنصات التي يستخدمها المهاجمون لتوزيع المكونات الضارة؟
يستخدم المهاجمون منصات شرعية تماماً مثل GitHub و Dropbox لاستضافة ملفاتهم. هذا التكتيك يجعل حركة المرور تبدو طبيعية بالنسبة لبرامج الأمان، حيث يصعب حظر روابط من مواقع عالمية موثوقة يستخدمها الملايين يومياً.
ما الذي يسرقه المهاجمون بعد السيطرة على الجهاز؟
الهدف النهائي هو نشر حصان طروادة للوصول عن بعد (RAT) يستهدف سرقة الهوية الرقمية، بما في ذلك كلمات المرور المحفوظة في المتصفحات، بيانات الدخول للحسابات البنكية، ومفاتيح الوصول إلى محافظ العملات الرقمية المشفرة.
🔎 في الختام، تذكرنا هذه الحملة المتطورة بأن الأمن الرقمي لا يتعلق فقط بسد الثغرات البرمجية، بل بفهم كيفية حماية النظام من التلاعب بمنطقه الداخلي. إن وعي المستخدم وتجنب تحميل الملفات المجهولة من مصادر غير موثوقة يبقى خط الدفاع الأول والأهم في مواجهة برمجيات خبيثة قادرة على خداع حتى أكثر الأنظمة تطوراً مثل البرامج الخبيثة الحديثة في بيئة ويندوز.
قم بالتعليق على الموضوع