تحذير أمني.. حملة خبيثة تستغل أداة شهيرة لاختراق أجهزة ويندوز

كشفت تقارير أمنية متخصصة عن حملة اختراق جديدة استغل فيها مهاجمون نطاقًا إلكترونيًا مزيفًا يحمل تشابهًا شبه كامل مع نطاق أداة Microsoft Activation Scripts (MAS) المعروفة، بهدف نشر برمجيات خبيثة على أجهزة تعمل بنظام ويندوز، عبر أوامر يتم تنفيذها من خلال PowerShell.

وبحسب ما نقلته مواقع أمنية، لاحظ عدد من مستخدمي أداة MAS ظهور تنبيهات غير معتادة على أجهزتهم، تشير إلى إصابتهم ببرمجية خبيثة تُعرف باسم Cosmali Loader، وهو ما دفع إلى فتح تحقيقات كشفت عن وجود فخ رقمي دقيق يعتمد على خطأ إملائي بسيط.

نطاق احتيالي بخداع بصري

أظهرت التحقيقات، أن المهاجمين اعتمدوا على إنشاء نطاق مزيف هو
get.activate[.]win
ليبدو قريبًا للغاية من النطاق الصحيح المستخدم في تعليمات MAS وهو
get.activated.win.

هذا الاختلاف الطفيف في حرف واحد فقط كان كافيًا لخداع المستخدمين، خصوصًا عند إدخال الأمر يدويًا داخل نافذة PowerShell، ما يؤدي فورًا إلى تنزيل وتنفيذ سكربتات ضارة تُصيب النظام.

تحميل أدوات تعدين وتحكم عن بُعد

الباحث الأمني المعروف باسم RussianPanda أوضح أن البرمجية المكتشفة، Cosmali Loader، تُعد أداة مفتوحة المصدر استُخدمت سابقًا كوسيط لتحميل برمجيات تعدين العملات الرقمية، بالإضافة إلى برمجيات تجسس وتحكم عن بُعد مثل XWorm RAT.

وأشار إلى أن رسائل التحذير التي ظهرت للمستخدمين يُرجح أنها أُرسلت من داخل لوحة التحكم الخاصة بالبرمجية نفسها، بعد أن تمكن باحث أمني من الوصول إليها، في محاولة لتنبيه الضحايا إلى تعرض أجهزتهم للاختراق.

تنبيه رسمي من مطوري MAS

من جهتهم، أصدر القائمون على مشروع MAS، المستضاف على منصة GitHub، تحذيرًا عاجلًا للمستخدمين، شددوا فيه على ضرورة التأكد من صحة الأوامر قبل تنفيذها، وتجنب إعادة كتابتها يدويًا، لما تحمله النطاقات المزورة من مخاطر متزايدة.

كما دعا خبراء أمن المعلومات إلى عدم تشغيل أي شيفرة برمجية من مصادر خارجية دون فهم كامل لوظيفتها، واختبارها أولًا داخل بيئة معزولة، خاصة أن أدوات تفعيل ويندوز غير الرسمية لطالما كانت هدفًا مفضلًا لمروجي البرمجيات الخبيثة.