Netcrook Logo
👤 CRYSTALPROXY
🗓️ 27 Feb 2026  

تحديث زوم الشبح: كيف جرى التجسس سرّاً على أكثر من 1,400 مستخدم في عملية احتيال متقنة لمكالمات الفيديو

العنوان الفرعي: يستغل مجرمو الإنترنت أدوات اجتماعات الفيديو الموثوقة لنشر مراقبة بمستوى الشركات على ضحايا غير مرتابين خلال ثوانٍ فقط.

بدأ الأمر بدعوة اجتماع بسيطة - شيء يتلقاه ملايين منا كل أسبوع. لكن لأكثر من 1,400 مستخدم على ويندوز، أطلقت نقرة واحدة عملية ترصّد رقمية. في أقل من أسبوعين، قامت خدعة ماكرة متنكرة كتحديث روتيني لزوم بتثبيت عميل مراقبة قوي بهدوء، محوِّلة الحواسيب الشخصية إلى كتب مفتوحة أمام مجرمي الإنترنت.

تشريح اجتماع خادع

بدأت العملية من نطاق مقلِّد مقنع، uswebzoomus[.]com، صُمّم بعناية ليحاكي واجهة زوم الحقيقية. الضحايا الذين وصلوا إلى الموقع واجهوا “غرفة انتظار” مكتملة بمشاركين مزيفين - أسماء مثل “Matthew Karlsson” و“Sarah Chen” - وأصوات رنين متكررة تحاكي تجربة مكالمة فيديو أصلية. كما دفعت رسالة تحذير مستمرة بعنوان “مشكلة في الشبكة” المستخدمين لتوقّع حلّ قريب.

الالتواء الذكي؟ تفاعلية الخدعة. لم يبدأ نشاط الصوت والفيديو إلا بعد أن ينقر المستخدم أو يكتب، ما يتجاوز روبوتات الأمان الآلية ويجعل الحيلة تبدو شرعية. خلال لحظات، ظهرت نافذة منبثقة مزيفة بعنوان “تحديث متاح”، مع عدٍّ تنازلي لخمس ثوانٍ ومن دون خيار للخروج. وعندما انتهى المؤقت، جرى تنزيل ملف باسم zoom_agent_x64_s-i(...).msi تلقائياً، بينما أظهرت الصفحة شاشة تثبيت وهمية لمتجر مايكروسوفت.

كشف قناع البرمجية الخبيثة

خلف الكواليس، كشف المُثبّت حقيقة مرعبة: كان عميلاً مُخصّصاً من Teramind، وهي أداة تُستخدم عادةً من قبل الشركات لمراقبة الموظفين. ثُبّت تحت دليل مخفي وتنكّر كعملية في ويندوز (dwm.exe)، وعمل في وضع التخفي. لا أيقونات، لا إدراجات للبرنامج - فقط مراقبة صامتة ومستمرة.

ما إن أصبح نشطاً، قام العميل المارق بإرسال ضغطات المفاتيح ولقطات الشاشة واستخدام التطبيقات وبيانات الحافظة مباشرةً إلى خوادم يسيطر عليها المهاجمون. وقد سمح استخدامه لملفات Teramind الأصلية بتفادي العديد من دفاعات مكافحة الفيروسات. بل إن شيفرة المُثبّت تضمنت أيضاً عمليات تحقق لإخفاء سلوكه الخبيث عن باحثي الأمن.

لماذا يهم هذا الأمر

تمثل هذه الحملة تطوراً خطيراً: مهاجمون يوظفون برمجيات شركات موثوقة وواسعة الاستخدام كأداة تجسس. وبدلاً من بناء برمجية خبيثة جديدة، حوّلوا منتجاً شرعياً إلى سلاح، مستغلين ثقة المستخدمين وألفتهم بعلامة زوم. تحركت الخدعة بسرعة - خلال 30 ثانية، اعتقد الضحايا أنهم يصلحون خللاً بسيطاً، لا أنهم يفتحون حياتهم الرقمية أمام غرباء.

كيف تحمي نفسك

يحث الخبراء على اليقظة: ادخل دائماً إلى الاجتماعات بكتابة zoom.us مباشرةً في المتصفح - ولا تستخدم أبداً روابط غير مطلوبة. إذا اشتبهت بالإصابة، فتحقق من العمليات المخفية وغيّر كلمات المرور من جهاز نظيف. هذا الحادث تذكير صارخ: في عصر العمل عن بُعد، الثقة الرقمية سلعة ثمينة - وهشّة.

WIKICROOK

  • ملف MSI: ملف MSI هو حزمة مُثبّت لويندوز تُستخدم لتثبيت البرامج، لكن يمكن أيضاً إساءة استخدامها لتوزيع البرمجيات الخبيثة إذا تم الحصول عليها من مصادر غير موثوقة.
  • وضع التخفي: وضع التخفي هو عندما تعمل شركة بسرية خلال التطوير المبكر لحماية الأفكار وكسب أفضلية قبل الإعلان للعلن.
  • تجاوز مضاد الفيروسات: يتضمن تجاوز مضاد الفيروسات أساليب يستخدمها المهاجمون لتفادي الكشف بواسطة برمجيات الأمان، ما يسمح للبرمجيات الخبيثة بالتسلل إلى الأنظمة دون التعرف عليها.
  • بيانات الحافظة: بيانات الحافظة هي المعلومات التي تنسخها أو تقصها على جهازك، مثل النصوص أو كلمات المرور، والتي قد تكون عرضة للسرقة بواسطة البرمجيات الخبيثة.
  • مؤشرات الاختراق (IOCs): مؤشرات الاختراق (IoCs) هي دلائل مثل أسماء الملفات أو عناوين IP أو شذرات الشيفرة تساعد على اكتشاف ما إذا كان نظام حاسوبي قد تعرض للاختراق.
Zoom Scam Cybercrime Surveillance Malware
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news