"Microsoft" şirkəti istifadəçiləri 2026-cı ilin fevral ayının sonlarından etibarən aktivləşən yeni kiberhücum kampaniyası barədə xəbərdar edib. Təhlükəsizlik mütəxəssislərinin sözlərinə görə, hakerlər zərərli VBS (Visual Basic Script) fayllarını yaymaq üçün "WhatsApp" mesajlarından fəal şəkildə istifadə edirlər. Bu skriptlər icra edildikdə, sistemdə qalıcı olmaq və məsafədən idarəetməni təmin etmək üçün çoxmərhələli infeksiya zəncirini işə salır. Hücumçuların qurbanları bu faylları açmağa necə inandırdığı hələlik tam məlum deyil.
Hücum necə həyata keçirilir?
Zərərli fəaliyyət istifadəçinin "WhatsApp" vasitəsilə aldığı faylı açması ilə başlayır. Skript işə düşdükdən dərhal sonra "C:\ProgramData" qovluğunda gizli fayllar yaradır. Daha sonra hakerlər sistemin qanuni alətlərinin adlarını dəyişdirərək onları gizlədirlər. Məsələn, "curl.exe" faylı "netapi.dll", "bitsadmin.exe" isə "sc.exe" kimi adlandırılır. Bu taktika zərərli fəaliyyətin normal sistem prosesləri kimi görünməsinə və təhlükəsizlik proqramlarından yayınmasına kömək edir.
İlkin giriş əldə edildikdən sonra kiberhücumçular sistemdəki hüquqlarını genişləndirməyə çalışırlar. Bunun üçün adları dəyişdirilmiş qanuni faylların köməyi ilə "AWS", "Tencent Cloud" və "Backblaze B2" kimi etibarlı bulud xidmətlərindən əlavə zərərli skriptlər yüklənilir. "Microsoft Defender" təhlükəsizlik qrupunun məlumatına görə, qanuni alətlərin və etibarlı platformaların birgə istifadəsi hücumun uğur qazanma ehtimalını əhəmiyyətli dərəcədə artırır.
Hansı risklər mövcuddur?
İkinci mərhələdə yüklənən fayllar sistemin müdafiəsini zəiflətmək üçün UAC (İstifadəçi Hesabına Nəzarət) parametrlərinə müdaxilə etməyə başlayır. Zərərli proqram yüksək hüquqlarla əmr sətrini (cmd.exe) işə salmağa cəhd edir və HKLM\Software\Microsoft\Win reyestr qeydlərində dəyişikliklər aparır. Bu addımlar infeksiyanın sistem yenidən başladıldıqdan sonra belə aktiv qalmasını təmin edir. Nəticədə hakerlər istifadəçinin xəbəri olmadan sistemə tam nəzarəti ələ keçirirlər.
Hücumun son mərhələsində qurbanın kompüterinə "AnyDesk" kimi qanuni, lakin rəqəmsal imzası olmayan MSI quraşdırıcıları əlavə edilir. Bu proqramlar cinayətkarlara fasiləsiz məsafədən giriş imkanı verir, məlumatların oğurlanmasına və ya əlavə virusların yüklənməsinə şərait yaradır. "Microsoft" nümayəndələri qeyd edirlər ki, bu kampaniya sosial mühəndislik, gizlənmə texnikaları və bulud əsaslı hücumların birləşməsindən ibarət olduqca mürəkkəb bir təhdiddir.
