هشدار مایکروسافت درباره بدافزار ناشی از پیوست‌های واتساپ که بکدورهایی برای نفوذ به ویندوز ایجاد می‌کند

مایکروسافت اخیراً هشدار داده است که پیوست‌های واتساپ (WhatsApp) به‌طور فزاینده‌ای حامل بدافزار هستند که می‌توانند بکدورهایی برای نفوذ و کنترل از راه دور سیستم‌های ویندوزی ایجاد کنند. این بدافزار که از طریق پیوست‌های واتساپ به صورت فایل‌های VBS ارسال می‌شود، ابتدا به‌عنوان پیام‌های عادی ظاهر می‌گردد، اما در واقع تهدیدات جدی برای امنیت دستگاه‌ها به همراه دارد. تحقیقات مایکروسافت از اواخر فوریه 2026 آغاز شده است و اکنون این تهدید به‌عنوان یکی از ریسک‌های قابل توجه در دنیای سایبری شناخته می‌شود.

نحوه عملکرد بدافزار در پیوست‌ های واتساپ و گسترش دامنه حمله

حمله با ارسال یک پیام ساده از طریق واتساپ آغاز می‌شود که حاوی یک فایل Visual Basic Script (VBS) است. این فایل می‌تواند دستورات مختلفی را روی سیستم‌های ویندوزی اجرا کند. کدهای مخرب به محض کلیک کاربر روی فایل فعال می‌شوند و به مهاجم این امکان را می‌دهند که به‌طور از راه دور به سیستم نفوذ کند و کنترل آن را در دست بگیرد.

بر اساس تحقیقات مایکروسافت، این کمپین به‌طور ویژه از ترکیبی ماهرانه از مهندسی اجتماعی و تکنیک‌های living-off-the-land برای فریب کاربران بهره می‌برد. این روش‌ها موجب می‌شود که حمله به شکلی پنهانی و دشوار برای شناسایی پیش رود که احتمال موفقیت آن را به‌طور چشمگیری افزایش می‌دهد. محققان مایکروسافت هشدار می‌دهند که این حمله زمانی به مراتب خطرناک‌تر می‌شود که کاربران به واتساپ به‌عنوان یک پلتفرم امن و معتبر نگاه می‌کنند، چرا که این اعتماد موجب می‌شود که افراد بدون احتیاط و با خیال راحت، فایل‌های آلوده را باز کنند.

تاکتیک‌های دور زدن امنیت با استفاده از پیوست‌ های واتساپ

بسیاری از کاربران واتساپ به دلیل اعتماد به این پلتفرم، تصور می‌کنند که استفاده از آن امن است و ممکن است بدون دقت کافی، روی پیوست‌های دریافتی کلیک کنند. پس از باز کردن این پیوست‌ها، بدافزار شروع به ایجاد پوشه‌های مخفی در مسیر C:\ProgramData می‌کند تا ردپای خود را پنهان کند. بخش هوشمند این حمله، تغییر نام ابزارهای استاندارد ویندوز به فایل‌های عادی است تا فعالیت‌های مخرب به نظر نرسند.

برای مثال، فایل curl.exe به netapi.dll تغییر نام می‌یابد و bitsadmin.exe به sc.exe تبدیل می‌شود. با این روش، هکرها می‌توانند ویروس‌های جدیدی را دانلود کنند، در حالی که این فعالیت‌ها به‌نظر می‌رسد بخشی از عملکردهای معمول سیستم باشند.

پژوهشگران مایکروسافت توضیح داده‌اند که بدافزار پیلودهای اضافی خود را از سرویس‌های ابری معتبر مانند AWS S3، Tencent Cloud و Backblaze B2 دریافت می‌کند. این کار موجب می‌شود که ترافیک مخرب با ترافیک عادی اینترنت ترکیب شده و شناسایی آن دشوارتر شود.

کنترل کامل سیستم شما از طریق پیوست‌های واتساپ

هدف اصلی این حمله، دستیابی به دسترسی مدیریتی است؛ به عبارت دیگر، هکرها قصد دارند همان سطح دسترسی که مالک اصلی سیستم دارد را به‌دست آورند. تحقیقات نشان می‌دهند که بدافزار تلاش می‌کند تا تنظیمات User Account Control (UAC) را تغییر دهد. این ویژگی امنیتی معمولاً از کاربر می‌خواهد که قبل از هر گونه تغییر در سیستم، مانند نصب برنامه‌ها یا تغییر تنظیمات، تایید کند که این تغییرات را می‌پذیرد. بدافزار با تغییر ورودی‌های رجیستری در مسیر HKLM\Software\Microsoft\Win می‌تواند هشدارهای UAC را غیرفعال کرده و حتی پس از راه‌اندازی مجدد سیستم، همچنان در دستگاه باقی بماند.

در مرحله نهایی حمله، هکرها نرم‌افزارهای مخربی را نصب می‌کنند که ظاهری شبیه به نصب‌کننده‌های معمولی مانند WinRAR.msi، Setup.msi یا AnyDesk.msi دارند. این نصب‌کننده‌ها به مهاجمان این امکان را می‌دهند که به سیستم دسترسی از راه دور پیدا کنند. به این ترتیب، هکرها می‌توانند داده‌های خصوصی کاربر را سرقت کرده یا از سیستم آلوده برای حملات بیشتر استفاده کنند.

نکته قابل توجه این است که این نصب‌کننده‌ها فاقد امضای دیجیتال هستند، به این معنی که هیچ‌گونه گواهی امنیتی معتبری ندارند که این امر ریسک استفاده از آن‌ها را به‌شدت افزایش می‌دهد.