حرف واحد خاطئ يفتح باب الاختراق.. نطاق مزيف يستغل أداة تفعيل ويندوز لنشر برمجيات خبيثة

كتبت بوسي عبدالقادر

كشفت تقارير أمنية حديثة عن حملة اختراق جديدة تعتمد على نطاق إلكتروني مزيف يشبه إلى حد كبير النطاق الرسمي لأداة Microsoft Activation Scripts (MAS)، حيث يتم استغلال خطأ إملائي بسيط لخداع المستخدمين ونشر برمجيات خبيثة على أنظمة ويندوز عبر أوامر PowerShell.

وبحسب موقع BleepingComputer، لاحظ عدد من مستخدمي أداة MAS ظهور تحذيرات أمنية مفاجئة على أجهزتهم، تفيد بإصابتهم ببرمجية خبيثة تُعرف باسم Cosmali Loader، وهو ما دفع إلى فتح تحقيقات موسعة حول مصدر الهجوم.

نطاق مزيف بفارق حرف واحد
وأظهرت التحقيقات أن المهاجمين أنشأوا نطاقًا مزيفًا هو
get.activate[.]win
ليحاكي النطاق الرسمي المستخدم في تعليمات MAS وهو:
get.activated.win

ويكمن الخطر في أن الفرق بين النطاقين لا يتجاوز حرفًا واحدًا، ما يجعل المستخدمين عرضة للوقوع في الفخ عند كتابة الأمر يدويًا داخل PowerShell، وبمجرد تنفيذ الأمر الخاطئ يتم تحميل سكربتات خبيثة تصيب النظام.

برمجيات تعدين وتجسس
وأوضح الباحث الأمني المعروف باسم RussianPanda أن البرمجية المستخدمة في الهجوم، وهي Cosmali Loader، سبق توظيفها في تحميل أدوات لتعدين العملات المشفرة، إلى جانب حصان طروادة للتحكم عن بُعد يُعرف باسم XWorm RAT، ما يمنح المهاجمين سيطرة شبه كاملة على الأجهزة المصابة.

كما رجّح الباحث أن تكون رسائل التحذير التي ظهرت للمستخدمين قد أُرسلت من داخل لوحة تحكم البرمجية الخبيثة نفسها، بعد تمكن باحث أمني من اختراقها، بهدف تنبيه الضحايا إلى تعرضهم للاختراق.

تحذيرات من مطوري MAS
من جانبهم، حذر القائمون على مشروع MAS المستضاف على منصة GitHub من هذه الحملة، داعين المستخدمين إلى التأكد بدقة من الأوامر قبل تنفيذها، وتجنب إعادة كتابتها يدويًا، مع ضرورة نسخها مباشرة من المصدر الرسمي.

كما شدد خبراء الأمن السيبراني على أهمية عدم تشغيل أي شيفرة برمجية عن بُعد دون فهم كامل لوظيفتها، واختبارها داخل بيئة معزولة (Sandbox)، خاصة أن أدوات تفعيل ويندوز غير الرسمية تُعد وسيلة شائعة لنشر البرمجيات الخبيثة.

مخاطر أدوات التفعيل غير الرسمية
ورغم أن MAS مشروع مفتوح المصدر، فإن شركة مايكروسوفت تصنفه كأداة قرصنة تلتف على نظام التراخيص الخاص بها، مؤكدين أن استخدام مثل هذه الأدوات قد يعرض المستخدمين لمخاطر جسيمة تصل إلى فقدان السيطرة الكاملة على أجهزتهم.

وفي ظل تصاعد الهجمات التي تعتمد على النطاقات المزورة، يبقى الوعي والتحقق من المصادر هو خط الدفاع الأول لحماية المستخدمين من التهديدات الرقمية.