يعمد المهاجمون إلى نشر أداة التحكم عن بُعد ScreenConnect من خلال مواقع ويب احتيالية تحاكي المواقع الرسمية لبرامج معروفة. وقد كشف باحثو كاسبرسكي عن أكثر من 90 نطاقاً إلكترونياً متاحاً بعشر لغات، تشمل الإنجليزية والعربية والإسبانية والصينية والألمانية والبرتغالية والروسية، الأمر الذي وسّع نطاق الحملة لتطال ضحايا في مختلف أنحاء العالم. وتركزت الهجمات على مستخدمي نظام ويندوز سواء كانوا أفراداً أو مؤسسات.
كشفت كاسبرسكي، إثر رصدها للحادثة عبر خدمة الاكتشاف والاستجابة المدارة Managed Detection and Response ، عن حملة هجمات واسعة النطاق اعتمد فيها المهاجمون على مواقع إلكترونية مزيفة لنشر أرشيفات تثبيت تبدو كأنها إصدارات رسمية لبرامج شائعة، مثل OBS Studio، وDNS Jumper، وDS4Windows، وGlary Utilities، وBandicam. ولتعزيز انتشار الحملة، استخدم المهاجمون تقنيات تحسين محركات البحث (SEO) لزيادة ظهور هذه المواقع في مقدمة نتائج البحث.
وفي
أكثر من 90 موقعاً إلكترونياً مزيفاً جرى تحديدها ضمن هذه الحملة، اتبع المهاجمون
النهج ذاته؛ إذ كان الضحايا الذين يحمّلون ما يعتقدون أنه برنامج أصلي يتلقون في
الواقع أداة التحكم عن بُعد ScreenConnect
التي توفر للمهاجمين وصولاً مستمراً إلى الأجهزة المصابة، قبل أن يتم نشر AsyncRAT، وهي برمجية حصان طروادة مفتوحة المصدر تمنحهم
تحكماً كاملاً بالأنظمة المخترقة. وتشير البيانات إلى أن تسجيل أسماء النطاقات
المرتبطة بهذه الحملة بلغ ذروته في فبراير 2026، بينما استخدم المهاجم ذاته خلال
عام 2025 مواقع ويب مزيفة لإخفاء برامج تثبيت خبيثة على أنها ألعاب.
تحدث
عملية الإصابة عبر أرشيفات خبيثة تحتوي على ملف Microsoft أصلي وموقّع باسم install.exe، بالإضافة إلى مكتبة install.res.1033.dll. ويتم تحميل ملف DLL على الجهاز عبر تقنية تحميل DLL الجانبي (DLL Sideloading)، ليقوم بعد ذلك بتثبيت خدمة ScreenConnect التي تظل نشطة بانتظار أوامر إضافية من
المهاجمين.
ويقول دينيس كوليك، تحليل محللي مركز العمليات الأمنية في كاسبرسكي: «تستهدف هذه الحملة مستخدمي الأدوات المجانية المتاحة عبر الإنترنت، وكذلك بيئات الشركات التي يُسمح فيها عادةً بأدوات الوصول عن بُعد وتُمنح صلاحيات موسعة ضمن البرامج المسموح بها. ويكمن خطرها في أنها قد تتيح تنفيذ عمليات واسعة لسرقة بيانات الاعتماد والوصول غير المشروع إلى الأنظمة، على أن يتم تداول البيانات المسروقة لاحقاً وبيعها في أسواق ومنتديات الشبكة المظلمة.»
ولتقليل المخاطر الناتجة عن هذا التهديد، ينصح خبراء كاسبرسكي الشركات بما يلي:
● تطبيق سياسات صارمة للتحكم في تثبيت البرامج، مثل اعتماد قوائم التطبيقات المسموح بها وحظر تثبيت حزم MSI من مصادر غير موثوقة.
● متابعة ورصد أي خدمات تحكم عن بُعد مستحدثة أو مهام مجدولة يتم إضافتها إلى الأنظمة بشكل مستمر.
● التحكم في حركة المرور الصادرة عبر الشبكة، مع حظر أي اتصالات غير معروفة إلى نطاقات أو عناوين IP مشبوهة.
● إبقاء الموظفين على اطلاع دائم بأحدث التهديدات. وتساعد منصة Kaspersky Automated Security Awareness Platform في تطوير وعي إلكتروني قوي، بما في ذلك أساليب التحميل الآمن.
● تحقّق من موثوقية مصادر البرامج قبل تحميلها أو استخدامها.
● دعم إجراءات الأمان القائمة من خلال قدرات كشف تعتمد على الخبراء البشريين ومعلومات التهديدات العالمية عبر حلول مثل Kaspersky Managed Detection and Response الذي يوفر مراقبة دائمة، وتحليل للحوادث، مع الاستجابة السريعة والمتكاملة للهجمات السيبرانية المتقدمة.
● مراقبة بيانات تسجيل الدخول بشكل دوري للكشف عن أي علامات اختراق، إذ قد يتحول أي حساب أو صلاحية وصول مخترقة إلى وسيلة لتنفيذ هجمات إضافية على المؤسسة. ويوفر حل Kaspersky Digital Footprint Intelligence رصداً مستمراً عبر مصادر الشبكة المفتوحة والشبكة المظلمة؛ مما يساعد في التعامل السريع مع التهديدات قبل تفاقمها.
ويوصي خبراء كاسبرسكي المستخدمين أيضاً باتباع النصائح التالية:
● توخي الحذر عند تحميل أي ملفات، والالتزام فقط بالمصادر الموثوقة للبرمجيات والوسائط، إذ قد تحتوي بعض التحميلات من مواقع غير آمنة على برمجيات خبيثة مدمجة داخل برمجيات تبدو أصلية.
● استخدم حل حماية شامل على جميع الأجهزة مثل Kaspersky Premium الذي يقوم بالكشف المبكر عن التهديدات المحتملة ويمنع تثبيت أو تشغيل البرمجيات الضارة.
● استخدم المصادقة الثنائية أو متعددة العوامل لحماية حساباتك، وقم بمتابعة حساباتك المالية بانتظام لاكتشاف أي عمليات مشبوهة في وقت مبكر.
● تحقق من صحة المواقع الإلكترونية قبل إدخال أي بيانات، وذلك بمراجعة الرابط بدقة والانتباه إلى أي اختلافات في أسماء المؤسسات أو تهجئتها.
يمكن الاطلاع على التقرير الكامل عبر الموقع التالي Securelist.com.