أظهرت حملة برامج خبيثة جديدة أن المهاجمين يمكنهم تعطيل حتى برنامج مكافحة الفيروسات الخاص بنظام التشغيل الويندوز 11 دون أن يلاحظ المستخدم ذلك، مما يجعل النظام عرضة للإصابة بالبرامج الخبيثة.
لتحقيق ذلك، لا يحتاجون إلى استغلال الثغرات الأمنية؛ بل يستخدمون منطق نظام التشغيل نفسه لتعطيل حماياته من الداخل، مما يعرض المستخدمين للخطر بشكل كامل.
يبدأ الهجوم عادةً بملف مضغوط يبدو كأنه مستند عمل عادي. لكن ما بداخله ليس مستندًا تقليديًا، بل اختصارات خبيثة تبدو غير ضارة. يؤدي فتح هذه الاختصارات إلى تشغيل برامج PowerShell النصية التي تتجاوز سياسات تنفيذ النظام وتُنزّل مكونات خبيثة أخرى.
بمجرد دخولها، تُنشئ البرمجية الخبيثة برنامج مكافحة فيروسات وهميًا على النظام. صُمم نظام ويندوز لتعطيل برنامج مايكروسوفت ديفندر إذا اكتشف حلًا أمنيًا نشطًا آخر، مما يسمح للبرمجية الخبيثة بإيقاف الحماية تلقائيًا دون إظهار أي تنبيهات واضحة.
كما يقوم المهاجمون بحقن شيفرة في العمليات الموثوقة، مثل إدارة المهام، مما يقلل من فرص اكتشافها.
يستمر البرنامج الخبيث في تعطيل أدوات رئيسية مثل محرر التسجيل، ومربع حوار التشغيل، وتكوين النظام، وبيئة استعادة نظام ويندوز، باستخدام أوامر إدارية مشروعة.
تُستضاف مكونات الهجوم على منصات شرعية، مثل GitHub وDropbox، مما يسمح لحركة البيانات الخبيثة بالاندماج مع الاتصالات العادية دون أن تكتشفها العديد من أدوات الأمان.
بعد تعطيل الدفاعات، يقوم المهاجمون بنشر حصان طروادة للوصول عن بعد (RAT) قادر على سرقة بيانات المتصفح وكلمات المرور المحفوظة ومعلومات محفظة العملات المشفرة.
وبالتالي، فإن نظام التشغيل الوسندوز 11 لا يتعرض للهجوم من خلال الثغرات الأمنية، ولكنه يُخدع لتعطيل حماياته الخاصة، مما يجعل المستخدمين عرضة تمامًا لجميع أنواع التهديدات.