تستهدف طريقة جديدة لـ اختراق جلسات Telegram مستخدمي نظام Windows، مما يتيح لمجرمي الإنترنت تجاوز كلمات المرور والمصادقة الثنائية بالكامل. يتخفى هذا الهجوم في شكل تحديث روتيني لبيانات نظام Windows، حيث يعمل نص برمجي (PowerShell script) خبيث على سرقة مفاتيح المصادقة بصمت من أجهزة الضحايا. ومن خلال استهداف الملفات المحلية التي يخزن فيها تطبيق Telegram جلسات تسجيل الدخول النشطة، يمكن للمهاجمين استنساخ الوصول إلى الحساب دون الحاجة إلى اعتراض أي رمز تحقق.
يتركز الهجوم على مجلد tdata، وهو الدليل المخصص الذي يحتفظ فيه تطبيق Telegram بنظام Windows بمفاتيح المصادقة المستخدمة لإبقاء المستخدمين متصلين بخوادمه. عند تنفيذ النص البرمجي المموه، يقوم أولاً بجمع معلومات النظام الأساسية، بما في ذلك اسم المستخدم، واسم المضيف، وعنوان IP العام. بعد ذلك، يجبر تطبيق Telegram على الإغلاق لفك قفل الملفات المحلية تمهيداً لتعديلها واستخراجها.
بمجرد إغلاق التطبيق، يضغط النص البرمجي محتويات مجلد tdata بالكامل داخل دليل مؤقت. يُرسل هذا الأرشيف مباشرة إلى المهاجمين عبر روبوت (Bot) على منصة Telegram، ثم يمسح النص البرمجي الملفات المؤقتة من جهاز الكمبيوتر لإخفاء آثاره. وفي حال نجاح الهجوم، يحصل المهاجمون على وصول دائم إلى حساب الضحية حتى يكتشف المستخدم الجلسة المشبوهة وينهيها يدوياً.
لحسن الحظ، اعترض الباحثون الأمنيون هذه البرمجية الخبيثة (Infostealer) بينما كانت لا تزال في مرحلة الاختبار الأولي. كان الروبوت الذي يتلقى البيانات المسروقة يعمل تحت اسم مؤقت afhbhfsdvfh_bot، مع وصف صريح بأنه "مهاجم Telegram". ونظراً لأن البرمجية الخبيثة لم تُنشر على نطاق واسع بعد، لم يجد الخبراء أي دليل على حدوث عمليات نقل بيانات ضخمة أو اختراقات واسعة النطاق للحسابات.
كيفية حماية حسابك وإحباط الهجمات
نظراً لأن هذا الهجوم يعتمد على سرقة بيانات الجلسة المحلية بدلاً من تخمين كلمات المرور، فإن الحماية تتطلب تأمين كل من جهازك وإعدادات التطبيق. يوصي خبراء الأمن بالاعتماد على برامج حماية قوية لمنع تنفيذ أي نص برمجي خبيث قد يصل عبر مرفقات البريد الإلكتروني أو التنزيلات المشبوهة.
- مراقبة الجلسات النشطة: تحقق بانتظام من حسابك بحثاً عن أي وصول غير مصرح به. توجّه إلى تطبيق الإعدادات (Settings)، ثم اختر الأجهزة (Devices)، واضغط على إنهاء جميع الجلسات الأخرى (Terminate all other sessions) إذا لاحظت نشاطاً غريباً.
- تفعيل التحقق بخطوتين: أضف كلمة مرور سحابية عبر التوجه إلى الإعدادات (Settings)، ثم الخصوصية والأمان (Privacy and Security)، واختيار التحقق بخطوتين (Two-Step Verification).
- الترقية إلى مفاتيح المرور: للحصول على حماية فائقة ضد التصيد الاحتيالي، قم بإعداد المصادقة بدون كلمة مرور عبر التوجه إلى الإعدادات (Settings)، ثم الخصوصية والأمان (Privacy and Security)، واختيار مفاتيح المرور (Passkeys).
نقطة الضعف الخفية في مفاتيح المصادقة
يسلط هذا النموذج الأولي من هجمات PowerShell الضوء على تحول جذري في تكتيكات مجرمي الإنترنت؛ إذ يتخلون تدريجياً عن أساليب التصيد التقليدية لكلمات المرور لصالح سرقة رموز الجلسات. عندما يسرق المخترق مجلد tdata، فإنه يسرق فعلياً "بطاقة العبور" التي تخبر خوادم Telegram بأن المستخدم قد سجل دخوله بنجاح بالفعل. هذا التكتيك يجعل حتى أعقد كلمات المرور والمصادقة الثنائية المستندة إلى الرسائل القصيرة عديمة الفائدة تماماً.
يُعد اكتشاف هذا النص البرمجي تذكيراً صارماً بأن أمان التطبيقات لا يمكن أن يعمل بمعزل عن أمان النظام. يمكنك تأمين حساب Telegram الخاص بك باستخدام مفاتيح المرور وكلمات المرور السحابية، ولكن إذا تعرض نظام Windows الأساسي للاختراق بواسطة برمجية خبيثة، فسيتم تجاوز كل تلك الدفاعات بسهولة. ومع استمرار المهاجمين في تطوير أدوات الاستخراج الآلية هذه، يجب على المستخدمين التعامل مع بيانات تطبيقاتهم المحلية بنفس مستوى الحذر الذي يولونه لكلمات المرور الرئيسية.
