برمجية RAT الخبيثة عبر مستكشف Windows تضع العملات الرقمية في خطر

تكشف معلومات Cofense عن كيفية استغلال الجهات الخبيثة لمستكشف ملفات Windows وخوادم WebDAV لتجاوز أمان المتصفح ودفع برامج RAT إلى الأهداف المؤسسية.

وجدت الجهات الخبيثة طريقة لدفع البرمجيات الضارة مباشرة إلى أجهزة الشركات دون المرور عبر متصفح الويب على الإطلاق. نشرت معلومات Cofense في 25 فبراير 2026 نتائج حول حملة نشطة تستغل القدرة المدمجة في مستكشف ملفات Windows على الاتصال بخوادم WebDAV البعيدة. تتجنب هذه الحيلة تحذيرات التنزيل التقليدية في المتصفح تمامًا. معظم المستخدمين لا يدركون أن مستكشف الملفات يمكنه الوصول إلى خوادم الإنترنت.

WebDAV هو بروتوكول إدارة ملفات قديم يعتمد على HTTP. قليل من الناس يستخدمونه اليوم. لكن Windows لا يزال يدعمه بشكل أصلي داخل مستكشف الملفات، على الرغم من أن Microsoft أوقفت دعمه في نوفمبر 2023. الفجوة بين إيقاف الدعم والإزالة الكاملة هي بالضبط ما يتسلل من خلاله المهاجمون.

عندما لا يكون المجلد فعلاً مجلدًا

وفقًا لتقرير Cofense المنشور، ظهر حجم الحملة لأول مرة في فبراير 2024، ثم ارتفع بشكل حاد في سبتمبر 2024. وظلت نشطة منذ ذلك الحين. لم تتباطأ الهجمات. 87 بالمئة من جميع تقارير التهديدات النشطة المرتبطة بهذه الحيلة تُسلم برمجيات RAT متعددة للوصول عن بعد كحمولة نهائية. تظهر XWorm RAT، Async RAT، و DcRAT بشكل أكثر تكرارًا.

مهم القراءة: خرق أمني في العملات الرقمية: اختراقات يناير تصل إلى 86 مليون دولار، وارتفاع التصيد الاحتيالي

كيف تعمل الهجمة فعليًا

يتلقى الضحايا رسائل تصيد احتيالي، غالبًا ما تكون مخفية كفواتير باللغة الألمانية. تحمل الرسائل إما ملفات اختصار URL (.url) أو ملفات اختصار LNK (.lnk). كلاهما يمكنه فتح اتصال WebDAV داخل مستكشف الملفات بصمت. يرى المستخدم ما يبدو كأنه مجلد محلي. لكنه ليس كذلك.

ما يجعل هذا ضارًا بشكل خاص هو السلسلة التي تتبع ذلك. تقوم السكربتات بتنزيل سكربتات إضافية من خوادم WebDAV منفصلة. تخلط الملفات الشرعية مع الملفات الضارة لتشويش الكشف. بحلول الوقت الذي تصل فيه برمجية RAT، يكون مسار التوصيل قد مر عبر عدة طبقات من التشويش. أدوات الأمان التي تفحص تنزيلات المتصفح تفوت كامل التسلسل.

تشير تقارير Cofense إلى أن 50% من جميع الحملات المتأثرة تكون باللغة الألمانية. تمثل الحملات باللغة الإنجليزية 30%. الإيطالية والإسبانية تشكل الباقي. هذا التقسيم يشير مباشرة إلى حسابات البريد الإلكتروني للشركات الأوروبية كهدف رئيسي.

قد يهمك أيضًا: خادم npm يسرق مفاتيح التشفير، ويستهدف 19 حزمة

يقوم Cloudflare Tunnel بدور كبير هنا لمصلحة المهاجمين. جميع تقارير التهديدات المرتبطة بهذه الحيلة تستخدم حسابات تجريبية مجانية على trycloudflare[.]com لاستضافة خوادم WebDAV الضارة. يوجه بنية Cloudflare التوصيل الخاص بالضحية. مما يجعل حركة المرور تبدو شرعية عند الفحص الأولي. الحسابات التجريبية قصيرة العمر بشكل متعمد، لذا يسرع المهاجمون في سحبها بعد تفعيل الحملات، مما يقطع التحليل الجنائي.

لماذا يواجه حاملو العملات الرقمية مخاطر كبيرة

هنا تصبح الأمور خطيرة لأي شخص يمتلك أصولًا رقمية. توفر برمجيات RAT مثل XWorm و Async RAT للمهاجمين وصولاً دائمًا عن بعد إلى جهاز مصاب. هذا يعني أن محتويات الحافظة، جلسات المتصفح، كلمات المرور المحفوظة، وملفات المحافظ الرقمية كلها في متناول اليد. يصبح اختطاف الحافظة، وهو أسلوب مرتبط بالفعل بمئات الملايين من سرقات العملات الرقمية، أمرًا بسيطًا بمجرد تشغيل RAT.

تجاوزات التصيد الاحتيالي وحدها تجاوزت 300 مليون دولار في يناير 2026، وفقًا لبيانات تتبع الأمان. يتفوق هذا الرقم على خسائر الاختراقات في البروتوكولات خلال نفس الفترة. تتصل طرق الهجوم التي توثقها Cofense مباشرة بهذا المسار. إن dropping RAT عبر WebDAV على جهاز موظف في فريق مالي ليس مجرد مشكلة تقنية في الشركة، بل هو طريق مباشر إلى سحب المحافظ وسرقة المفاتيح.

أيضًا يستحق اهتمامك: مع تزايد التهديدات، ستصبح أمان محافظ العملات الرقمية أولوية قصوى في 2026

ما الذي يتعين على المؤسسات القيام به الآن

يوصي تقرير Cofense بالبحث عن حركة مرور الشبكة إلى حسابات Cloudflare Tunnel التجريبية تحديدًا. يجب أن ترفع أدوات EDR التي تعتمد على التحليل السلوكي تنبيهات لملفات .URL و .LNK التي تتصل بخوادم بعيدة. الحل الأصعب هو تثقيف المستخدمين. معظم الناس ببساطة لا يعرفون أن شريط عنوان مستكشف الملفات يعمل مثل المتصفح.

التحقق منه بنفس طريقة فحص عنوان URL مشبوه هو خط الدفاع الأول. يمكن أن يُستخدم نفس الأسلوب عبر بروتوكولات FTP و SMB. كلا البروتوكولين يُستخدمان بشكل منتظم في المؤسسات، وكلاهما يمكنه الوصول إلى خوادم خارجية. السطح الهجومي الذي توثقه Cofense أوسع من مجرد WebDAV.

متعلق: الاختراقات والحوادث الأمنية في 2025: سنة كشفت أضعف حلقات العملات الرقمية

التفصيل الفني الكامل، بما في ذلك جداول IOC وأمثلة على نطاقات Cloudflare Tunnel المرتبطة بتقارير التهديدات النشطة المحددة، متاح في تقرير Cofense Intelligence المنشور على cofense.com.