رصد خبراء أمن المعلومات حملة سيبرانية معقدة تستغل وظيفة البحث في نظام Windows لخداع المستخدمين وتحميل برامج ضارة. ووفقاً لباحثين في مؤسسة Trustwave SpiderLabs، يعتمد الهجوم على استغلال الثقة التي يضعها المستخدمون في واجهات الاستخدام المألوفة والإجراءات الشائعة، مثل فتح مرفقات البريد الإلكتروني.
يبدأ الهجوم برسالة تصيد إلكتروني تتظاهر بأنها فاتورة رقمية أو مستند مهم، تحتوي على ملف مضغوط مرفق بامتداد، بالإضافة إلى ملف HTML. وعند فتح ملف HTML، يتم تشغيل “ويندوز إكسبلورر” للبحث عن الملفات داخلياً على جهاز المستخدم. يستخدم محرك البحث الخاص بويندوز خادم إلكتروني تابع لخدمة كلاود فلير للبحث عن العناصر المسمّاة “INVOICE”، دون علم المستخدم.
يقوم الملف الخبيث بإعادة تسمية حافظة الملفات الخاصة بالملف المضغوط باسم “Downloads”، مما يوهم المستخدم بأنه يفتح الملف الذي نزله، بينما هو في الواقع ملف مضغوط يحتوي على مستند بامتداد .LNK يشير إلى ملف .BAT على نفس الخادم. بمجرد تنشيط هذا الملف، يبدأ الهجوم الحقيقي على جهاز المستخدم.
ولم يتمكن الباحثون من تحديد طبيعة الهجوم بشكل كامل لأن الخادم قد تم إيقافه قبل أن يتمكنوا من الوصول إلى الحمولة البرمجية الضارة. ويوصي الباحثون المستخدمين بتوخي الحذر عند التعامل مع رسائل البريد الإلكتروني غير المألوفة، وتجنب تحميل الملفات المرفقة قبل التحقق من سلامتها.
يُشار إلى أن الهجمات السيبرانية المعتمدة على رسائل البريد الإلكتروني الاحتيالية قد شهدت ارتفاعاً بنسبة 94% في عام 2023، وفقاً لتقرير شركة Egree لخدمات البريد الإلكتروني.
