برامج ضارة تتنكر في هيئة تحديث ويندوز 11 24H2

إذا كنت تستخدم نظام التشغيل Windows 11، فيجب أن تأخذ على محمل الجد ما يحدث مع ما يُفترض أنه تحديث تراكمي لمدة 24 ساعة هذا ما ينتشر على الإنترنت. ليس هذا مجرد خلل بسيط وعابر أو خطأ مزعج؛ بل هو حملة برمجيات خبيثة مصممة بعناية لتتخفى في صورة تحديث رسمي من مايكروسوفت وتتسلل إلى جهاز الكمبيوتر الخاص بك دون أن يلاحظها أحد.

في الإصدارات الحديثة من نظام التشغيل ويندوز، اعتدنا على سماع ما يلي: الثغرات الأمنية، والعيوب الأمنية، وأخطاء التثبيتيدرك مجرمو الإنترنت هذا الأمر ويستغلون حالة انعدام الثقة هذه لإطلاق مواقع إلكترونية تكاد تكون مطابقة لصفحات دعم مايكروسوفت الرسمية. في هذه الحالة، يقدم موقع إلكتروني خبيث تحديثًا مزيفًا لنظام ويندوز 11 (24H2) يقوم في الواقع بتثبيت برنامج لسرقة كلمات المرور والبيانات المصرفية، يصعب اكتشافه حتى بواسطة أفضل برامج مكافحة الفيروسات.

ما هو البرنامج الخبيث الذي يتنكر في صورة تحديث ويندوز 11 24H2؟

وقد قامت شركة الأمن السيبراني بتحليل الحملة بالتفصيل التقيموقد رصدت هذه الجهة موقعًا إلكترونيًا احتياليًا متنكرًا في هيئة بوابة دعم مايكروسوفت. والنطاق الأكثر ذكرًا في التحليلات هو microsoft-update.support، وهو عنوان يمكن أن يخدع أي شخص للوهلة الأولى إذا لم يلاحظ أنه لا ينتهي بـ microsoft.com.

في هذه الصفحة، يعلن المهاجمون عن شيء مزعوم التحديث التراكمي لنظام التشغيل Windows 11 24H2تتضمن هذه المعلومات مراجع لمقالات قاعدة المعرفة، وملاحظات الإصدار حول تحسينات الأداء، وتحديثات النواة، وتحسينات قائمة ابدأ، وإصلاحات أمنية. وكل ذلك مُقدّم بتصميم وأسلوب كتابة يُذكّرنا كثيراً بالموقع الرسمي.

الخطاف الرئيسي هو زر أزرق كبير يدعوك لتنزيل ملف يُعرف باسم WindowsUpdate1.0.0.msi أو ما شابه ذلك، بحجم تقريبي يبلغ 83 ميجابايت. للوهلة الأولى، يتطابق الحجم والاسم وامتداد الملف تمامًا مع ما نتوقعه من برنامج تثبيت ويندوز شرعي.

ولتعزيز الخداع، تم إنشاء برنامج التثبيت باستخدام مجموعة أدوات WiXهذه مجموعة أدوات مشروعة تمامًا لإنشاء حزم MSI في نظام ويندوز. علاوة على ذلك، قام مجرمو الإنترنت بالتلاعب بالبيانات الوصفية بحيث تُظهر خصائص الملف شركة مايكروسوفت كمطور، وتعرض وصفًا يتوافق مع تحديث نظام التشغيل.

كل هذا الجهد له هدف واحد واضح للغاية: جعل ملف MSI يبدو شرعي تمامًا لكل من المستخدم وعمليات التحقق الأمني ​​الأساسيةيعتقد الضحية أنه يقوم بتطبيق تحديث هام لنظام التشغيل Windows 11، بينما في الواقع يفتح الباب على مصراعيه أمام البرامج الضارة المتخصصة في سرقة المعلومات الحساسة.

كيفية تثبيت البرامج الضارة وماذا تفعل على جهاز الكمبيوتر الخاص بك

بمجرد أن يقوم المستخدم بتنزيل وتشغيل برنامج تثبيت تحديث 24H2 المفترض، تبدأ سلسلة من الإجراءات الصامتة. فبدلاً من تطبيق تصحيحات الأمان، يقوم ملف MSI بنشر تطبيق قائم على الإلكترون داخل المجلد APPDATA من ملف تعريف المستخدم، وهو موقع شائع للبرامج المشروعة، مما يقلل من الشكوك.

لا يأتي تطبيق Electron هذا بمفرده: يقوم برنامج التثبيت بتشغيل مكونات إضافية ونشرها أدوات وحزم مصممة لسرقة البياناتوتشمل هذه البرامج النصية بلغة جافا سكريبت شديدة التعتيم و الوحدات النمطية في بايثون مستعد لتنفيذ حمولات وقت التشغيل، وتفريغ موارد إضافية، والتواصل مع البنية التحتية للمهاجمين.

تتمثل الخطوة الأولى للبرمجيات الخبيثة، بمجرد بدء تشغيلها، في الحصول على عنوان IP العام والموقع الجغرافي التقريبي من الجهاز المصاب. وبفضل هذه البيانات، يعرف مجرمو الإنترنت من أي بلد، وفي كثير من الحالات، من أي منطقة جغرافية محددة تحدث العدوى، مما يسمح لهم بتكييف الحملة مع سياقات جغرافية مختلفة.

بعد ذلك، يتم جمع المعلومات المخزنة على الجهاز: كلمات المرور المحفوظة في المتصفحاتملفات تعريف الارتباط الخاصة بالجلسة، ورموز الوصول، والبيانات المصرفية، وبيانات اعتماد الخدمات الإلكترونية. وتشير التقارير تحديدًا إلى قدرة البرامج الضارة على تعديل التطبيقات القائمة على Electron مثل ديسكورداعتراض رموز المصادقة، وتغييرات كلمات المرور، وحتى معلومات الدفع المرتبطة بالحساب.

لا تقتصر سرقة البيانات على المتصفح أو تطبيق ديسكورد. إذ يمكن للبرامج الضارة الوصول إلى مصادر معلومات النظام المتعددة وتجميع كل المحتوى المسروق. وفي بعض الحالات، تتم عملية الاستخراج عبر خدمات تبدو شرعية، مثل... ملف GoFileوالتي يتم من خلالها تحميل البيانات إلى خوادم خارجية. وقد تم استضافة بنية القيادة والتحكم على منصات مثل عامل العرض وعامل Cloudflareمما يجعل تتبع حركة المرور الضارة وحظرها أكثر صعوبة.

هجوم شديد التخفي، يكاد يكون غير مرئي لبرامج مكافحة الفيروسات.

أحد الجوانب التي أثارت قلق الخبراء بشكل كبير هو أنه خلال الاختبارات التي أجرتها شركة Malwarebytes، لم يُظهر أي من محركات مكافحة الفيروسات الـ 69 التي تم تحليلها أي نتائج. تم اكتشاف الملف على أنه خبيث. هذا ليس مجرد خطأ بسيط في الإعدادات، بل هو نتيجة مباشرة لبنية الهجوم وكيفية إخفاء المنطق الخبيث.

يُعتبر الملف التنفيذي الأولي - ملف MSI والملف الثنائي المرتبط به - ملفات نظيفة من منظور مكافحة الفيروسات التقليدي، يتم بناؤها باستخدام أدوات تطوير شائعة، مثل WiX Toolset، وتعرض بيانات تعريف Microsoft شرعية ظاهريًا، ولا تحتوي بشكل مباشر على توقيعات البرامج الضارة المعروفة في رمزها الثنائي.

يكمن الجزء الخطير حقاً في... كود جافا سكريبت مغلف داخل تطبيق إلكترونهنا يكمن المنطق الكامن وراء سرقة البيانات، وتشفير المعلومات، والتواصل مع خوادم القيادة والتحكم. علاوة على ذلك، فإن شفرة جافا سكريبت هذه مُشفرة بشكل مُعقد، مما يُصعّب تحليلها ويمنع العديد من برامج مكافحة الفيروسات من التعمق بما يكفي لاكتشاف ما يحدث بالفعل.

يُضاف إلى كل هذا حمولة في Python يعمل البرنامج تحت أسماء عمليات تبدو طبيعية تمامًا، ويقوم بتنزيل مكونات إضافية أثناء التشغيل من مواقع لا تثير أي شكوك من حيث المبدأ. كل جزء من الهجوم، عند تحليله بشكل منفصل، يبدو غير ضار، لكنها مجتمعة تشكل عملية سرقة بيانات بالغة التعقيد.

يصر الباحثون على أن المشكلة لا تكمن في فشل برامج مكافحة الفيروسات، بل في أن الهجوم مصمم لـ استغلال قيود التحليلات التقليديةتركز العديد من المحركات على الملف الثنائي الرئيسي ولا تتعمق في محتويات حزم Electron أو البرامج النصية الداخلية JavaScript أو العلاقة التسلسلية بين VBS و Python والمكونات المساعدة الأخرى.

آليات الاستمرارية: كيف تضمن بقاءها نشطة

لكي يكون الهجوم مربحًا، يحتاج مجرمو الإنترنت إلى استمرار عمل البرامج الضارة بعد إعادة تشغيل النظام الأولى. لذلك، يتضمن الكود عدة عناصر. آليات الاستمرار مموهة بشكل جيد للغاية داخل نظام التشغيل نفسه.

إحدى أكثر الحيل إثارة للدهشة هي تعديل تسجيل Windows لإنشاء إدخال تحت الاسم "الأمن والصحة"يتطابق هذا الاسم مع أسماء المكونات الشرعية المتعلقة بإشعارات أمان ويندوز، لذلك يبدو للوهلة الأولى أنه خدمة نظام ولا يثير الشكوك بين المستخدمين الذين يتحققون من السجل أو أدوات التشخيص الأساسية.

بالإضافة إلى ذلك، يقوم البرنامج الخبيث بإنشاء اختصار يسمى "Spotify.lnk" في مجلد بدء تشغيل المستخدم. وبهذه الطريقة، في كل مرة يبدأ فيها تشغيل الكمبيوتر، يقوم هذا الاختصار الذي يبدو بريئًا بتشغيل البرنامج الخبيث، والذي يُعاد تشغيله بعد ذلك دون أي تدخل من المستخدم.

يقلل هذا النظام المزدوج - إدخال سجل النظام والاختصار المُقنّع - من احتمالية أن يؤدي إعادة تشغيل بسيطة أو إلغاء تثبيت برنامج ذي صلة إلى القضاء على التهديد. إذا لم يلاحظ أحد هذه العناصر، يمكن للبرامج الضارة أن... يظل نشطًا لأسابيع أو شهورجمع المعلومات وإرسالها دون أن يلاحظ الضحية أي شيء غير عادي.

يُضاف إلى كل هذا أن الملف الرئيسي يبدو أنه برنامج تثبيت تحديث تراكمي هذا أمر طبيعي تماماً. إذا لم يتذكر المستخدم تثبيت أي شيء غير عادي أو لم ينتبه إلى الاختصارات وعناصر بدء التشغيل، فمن المحتمل جداً ألا يربط حتى بين المشاكل الأمنية المحتملة وهذا التحديث المفترض لنظام ويندوز.

نطاق الحملة وسياق القضايا الأخرى ذات الصلة

تشير التقارير الأولية إلى أن الموقع الإلكتروني الاحتيالي وجزءًا كبيرًا من الحملة قد تم رصدهما في البداية في فرنساالصفحة معروضة باللغة الفرنسية ومصممة خصيصاً لتناسب المستخدمين في ذلك البلد، مما يوحي بحملة تسويقية موجهة. ومع ذلك، يتفق كل من برنامج Malwarebytes وخبراء آخرون على أن الخطر عالمي وأن العملية يمكن أن تتوسع بسرعة لتشمل لغات ومناطق أخرى.

تزدهر هذه الأنواع من الهجمات على تسريبات البيانات السابقة والأنماط السلوكية من بين المستخدمين. بمجرد أن ينجح نموذج الهجوم في بلد واحد، يصبح من السهل نسبيًا تكراره مع ترجمات أخرى، ومجالات مماثلة، ومحتوى مُكيَّف مع مجتمعات مختلفة، مع الحفاظ على نفس المنطق الأساسي.

في الوقت نفسه، يجب عدم الخلط بين هذه الحملة والاستخدام المشروع لصور Windows 11 24H2 ISO. فقد رُصدت حالات على منتديات دعم Microsoft لمستخدمين قاموا بتنزيل إحداها. إصدار ويندوز 11 الرسمي 24H2 ISO رقم 26100.863 من قنوات مايكروسوفت، ثم الإبلاغ عن السلوكيات الغريبة لأدوات الطرف الثالث، مثل عمليات الإغلاق التلقائية عند إجراء عمليات فحص الثغرات الأمنية باستخدام BitDefender أو ESET.

في هذه الحالات، يوضح متخصصو دعم مايكروسوفت أنه إذا تم الحصول على ملف ISO من القناة الرسمية.لا يحتوي على برامج ضارة أو محتوى خبيث. عادةً ما تكون المشاكل ناتجة عن عدم التوافق بين النظام المثبت حديثًا وبعض برامج الأمانأو إلى أعطال في البرنامج نفسه، وليس إلى إصابات مرتبطة بهذه الحملة المحددة.

يكمن الاختلاف الرئيسي في المصدر: فبينما يأتي التحديث الاحتيالي من موقع خارجي يقلد مايكروسوفتتصل صور ISO الأصلية والتحديثات الرسمية دائمًا عبر Windows Update أو كتالوج تنزيل Microsoft، ضمن نطاق microsoft.com.

لماذا تنجح هذه الأنواع من التحديثات المزيفة بشكل جيد؟

إن نجاح هذه الحملة ليس من قبيل الصدفة. فمن ناحية، تتمتع ويندوز بسمعة طيبة في ثغرات أمنية متكررة، وتحديثات إشكالية، ونقاط ضعف قابلة للاستغلالمن ناحية أخرى، لا يتعمق معظم المستخدمين في التفاصيل التقنية لما يقومون بتثبيته، خاصة إذا بدا أن المحتوى يأتي من علامة تجارية موثوقة مثل مايكروسوفت.

يجمع المهاجمون بين عدة عناصر نفسية: الخوف من نفاد التحديثات الأمنية، والضغط للحفاظ على تحديث النظام، و الثقة العمياء في المظهر المرئي لموقع الويبإذا بدا الموقع رسميًا، وعرض رقمًا بالكيلوبايت، وقدم تنزيلًا باسم موثوق، فإن العديد من الناس يتخلون عن حذرهم وينقرون.

ومما يُساعد أيضاً أن تتضمن ملاحظات التحديث المفترض ما يلي تحسينات في أداء قائمة ابدأ، وإصلاحات لنواة النظام، وتحسينات متنوعة.هذه أسباب شائعة تجعل المستخدم يقبل إصدارًا جديدًا من نظام التشغيل Windows 11: وعود بمزيد من الاستقرار، ومزيد من الأمان، ونظام أكثر سلاسة.

بالإضافة إلى ذلك، يتميز ملف MSI بحجم معقول (حوالي 83 ميجابايت)، و اسم متوافق مع برنامج تثبيت تحديثات ويندوز وخصائص داخلية تشير إلى أنه منتج من مايكروسوفت. لا يتجاوز العديد من المستخدمين هذا الفحص السطحي الأولي، إن تكلفوا عناء ذلك أصلاً، مما يترك للحملة مجالاً واسعاً للمناورة.

وأخيرًا، فإن عدم قيام برامج مكافحة الفيروسات بإصدار تنبيهات قوية يعزز الشعور الزائف بالأمان. فإذا لم يُحذر الحاسوب من أي شيء غير معتاد، يميل المستخدم إلى الاعتقاد بأن التثبيت قد تم بنجاح وأن كل شيء على ما يرام، بينما في الواقع يكون البرنامج الخبيث قد بدأ بالفعل بالعمل في الخلفية.

كيفية حماية نفسك من تحديثات ويندوز 11 المزيفة

أفضل وسيلة للدفاع ضد هذا النوع من الفخاخ هي اتباع سلسلة من ممارسات جيدة بسيطة للغايةلكن من المهم اتباعها بحذافيرها. أولها وأهمها: لا تقم بتنزيل تحديثات ويندوز من روابط خارجية يتم استلامها عبر البريد أو وسائل التواصل الاجتماعي أو الرسائل الخاصة أو مواقع الويب التابعة لجهات خارجية.

تقوم مايكروسوفت بتوزيع تحديثاتها بطريقتين رئيسيتين: من خلال الأداة المدمجة تحديث ويندوز ضمن تكوين النظام، وبالنسبة للبيئات الأكثر تقدماً، من خلال كتالوج تحديثات مايكروسوفت الرسمي على الإنترنت. أي تحديث لنظام التشغيل Windows 11 لا يصل عبر إحدى هاتين القناتين يجب اعتباره مشبوهاً.

إذا كنت ترغب في التحقق بنفسك مما إذا كانت معداتك محدثة، فما عليك سوى فتح تكوين Windowsللوصول إلى تحديثات ويندوز، انتقل إلى قسم "تحديثات ويندوز" وانقر على "التحقق من وجود تحديثات". إذا كان هناك إصدار جديد أو تصحيح مهم، فسيعرضه النظام تلقائيًا ويقوم بتنزيله دون الحاجة إلى الوصول إلى مواقع ويب خارجية أو التعامل مع ملفات MSI.

من الضروري أيضًا التحقق دائمًا من عناوين URL للصفحات المتعلقة بمايكروسوفتيجب أن ينتهي اسم النطاق بـ "microsoft.com"؛ وأي اختلاف، مثل الأسماء الطويلة أو استخدام فواصل غريبة أو امتدادات غير مألوفة، يُعدّ مدعاةً للشك. تُعتبر نطاقات مثل "microsoft-update.support" أو ما شابهها مؤشراً واضحاً على محاولة تصيّد احتيالي.

وأخيرًا، حتى لو كنت تستخدم برنامجًا جيدًا لمكافحة الفيروسات، فمن الأفضل أن تفترض أن لا توجد أداة توفر حماية مطلقة.خاصةً عند مواجهة تهديدات متطورة كهذه. إن عدم وجود تنبيهات لا يعني أن ما تقوم بتثبيته آمن. لذا، فإن توخي الحذر عند تنزيل أي برنامج وتجنب اختصارات تحديث ويندوز أمران أساسيان لتجنب الوقوع في هذا الفخ.

ماذا تفعل إذا كنت تشك في أنك قمت بتثبيت تحديث 24H2 المزيف؟

إذا كنت تعتقد أنك ربما قمت بتشغيل أحد هذه المثبتات متنكرًا في صورة تحديث لنظام التشغيل Windows 11، فعليك اتخاذ إجراء في أسرع وقت ممكن. من الأفضل أن تقوم بـ تحليل شامل باستخدام أدوات أمنية متنوعة، ويفضل أن يكون ذلك من بيئة إنقاذ أو باستخدام ماسح ضوئي غير متصل بالإنترنت لا يعتمد على النظام الذي يحتمل أن يكون قد تعرض للاختراق.

مع ذلك، ولأن هذا التهديد قادر على تجاوز العديد من برامج مكافحة الفيروسات، فإن الفحص البسيط لا يكفي. يُنصح بالتحقق يدويًا من بعض عناصر الثبات المعروفة، مثل وجود... إدخال "SecurityHealth" المشبوه في سجل ويندوز يشير ذلك إلى ملف تنفيذي غير عادي، بالإضافة إلى اختصارات غريبة في المجلد الرئيسي، وخاصة اختصار يسمى "Spotify.lnk" والذي لا ينبغي أن يكون موجودًا هناك.

إذا لاحظت علامات واضحة للعدوى، فإن الخطوة الأكثر حكمة هي افصل الجهاز عن الإنترنت لقطع الاتصال بخوادم القيادة والتحكم ومنع تسريب المزيد من البيانات. ومن ثم، يمكنك اختيار عملية تنظيف متقدمة بمساعدة متخصص، أو إذا لم تكن واثقًا تمامًا من النتيجة، يمكنك إجراء تثبيت نظيف لنظام التشغيل Windows باستخدام قنوات مايكروسوفت الرسمية.

بمجرد تنظيف النظام، يحين وقت الجزء الأكثر صعوبة: تغيير كافة كلمات المرور التي ربما تكون قد تعرضت للاختراق. ابدأ ببريدك الإلكتروني الرئيسي، وحساباتك المصرفية، وخدمات الدفع، وأي منصة تحتوي على معلومات حساسة بشكل خاص. فعّل المصادقة من خطوتين كلما أمكن ذلك لإضافة طبقة إضافية من الأمان.

من المستحسن أيضاً مراقبة أي نشاط غير معتاد على حساباتك المصرفية، أو عمليات تسجيل دخول غريبة إلى خدمات مثل ديسكورد، أو مواقع التواصل الاجتماعي، أو البريد الإلكتروني، أو أي رسائل بريد إلكتروني لاستعادة كلمة المرور لم تطلبها. إذا لاحظت أي شيء غير طبيعي، فبادر بالاتصال ببنكك أو فريق دعم الخدمة المتأثرة فوراً.

قد يبدو كل هذا الجهد مفرطًا، ولكن في مواجهة البرامج الضارة القادرة على سرقة بيانات الاعتماد وبيانات الدفع ورموز المصادقة دون إثارة الشكوك، من الأفضل توخي الحذر. من الأفضل توخي الحذر بدلاً من التقصير.يكمن الحل في الاستجابة السريعة وعدم السماح للعدوى بالاستمرار.

تُظهر تحديثات ويندوز 11 المزيفة مثل هذه الحملة، التي تتنكر في صورة الإصدار 24H2، إلى أي مدى يمكن أن يصل مجرمو الإنترنت. للاستفادة من الثقة في العلامات التجارية وفي عمليات التحديث الروتينيةإن فهم كيفية عمل عملية الاحتيال، ومعرفة كيفية التعرف على علامات الموقع الإلكتروني الاحتيالي، والتعود على استخدام قنوات مايكروسوفت الرسمية فقط، هو ما يصنع الفرق بين امتلاك جهاز كمبيوتر آمن بشكل معقول أو أن تصبح الضحية التالية لسرقة البيانات الصامتة.