كشفت تقارير أمنية حديثة عن استغلال نطاق إلكتروني مزيف، يشبه إلى حد كبير نطاق أداة Microsoft Activation Scripts (MAS) الشهيرة، لنشر برمجيات خبيثة تستهدف أنظمة ويندوز عبر أوامر PowerShell، في هجوم يعتمد على خطأ إملائي بسيط قد يقع فيه المستخدمون.
وبحسب موقع “BleepingComputer”، بدأ عدد من مستخدمي أداة MAS بالإبلاغ عبر منصة “ريديت” عن ظهور رسائل تحذيرية مفاجئة على أجهزتهم، تفيد بإصابتهم ببرمجية خبيثة تُعرف باسم Cosmali Loader.
نطاق مزيف بفارق حرف واحد
التحقيقات أوضحت أن المهاجمين أنشأوا نطاقًا مزيفًا هو: get.activate[.]win.
ليحاكي النطاق الرسمي المستخدم في تعليمات MAS وهو: get.activated.win.
الفارق بين النطاقين هو حرف واحد فقط، ما يجعل المستخدمين عرضة للوقوع في الفخ عند كتابة الأمر يدويًا داخل PowerShell.
وبمجرد تنفيذ الأمر الخاطئ، يتم تحميل سكربتات خبيثة تصيب النظام.
برمجيات تعدين وتجسس
الباحث الأمني المعروف باسم RussianPanda أكد أن الإشعارات التي ظهرت للمستخدمين مرتبطة ببرمجية Cosmali Loader مفتوحة المصدر، مشيرًا إلى أنها استخدمت سابقًا في تحميل أدوات تعدين العملات المشفرة، إضافة إلى حصان طروادة للتحكم عن بُعد يُعرف باسم XWorm RAT.
كما رجح أن تكون رسائل التحذير قد أُرسلت من داخل لوحة التحكم الخاصة بالبرمجية الخبيثة، بعد أن تمكن باحث أمني من الوصول إليها، بهدف تنبيه الضحايا إلى تعرض أجهزتهم للاختراق.
تحذيرات من مطوري MAS
القائمون على مشروع MAS، المستضاف على منصة GitHub، حذروا المستخدمين من هذه الحملة، ودعوا إلى التحقق بدقة من الأوامر قبل تنفيذها، وعدم إعادة كتابة الأوامر يدويًا لتجنب الوقوع في فخ النطاقات المزورة.
ونصح الخبراء بعدم تشغيل أي شيفرة برمجية عن بُعد دون فهم كامل لوظيفتها، واختبارها داخل بيئة معزولة (Sandbox)، خاصة أن أدوات تفعيل ويندوز غير الرسمية كانت ولا تزال وسيلة شائعة لنشر البرمجيات الخبيثة.
مخاطر أدوات التفعيل غير الرسمية
ويؤكد خبراء الأمن السيبراني أن استخدام مثل هذه الأدوات يعرض المستخدمين لمخاطر كبيرة، قد تصل إلى فقدان السيطرة الكاملة على أجهزتهم.
حرف واحد خاطئ كان كافيًا لاختراق آلاف الأجهزة، ومع تزايد الهجمات المعتمدة على النطاقات المزورة، يبقى الحذر والتأكد من مصادر الأوامر والبرمجيات هو خط الدفاع الأول أمام هذه التهديدات الرقمية.