تخطي إلى المحتوى الرئيسي

حملة احتيالية واسعة النطاق تنشر برمجيات RAT عبر أداة ScreenConnect

٢ يوليو ٢٠٢٦

يعمد المهاجمون إلى نشر أداة التحكم عن بُعد ScreenConnect من خلال مواقع ويب احتيالية تحاكي المواقع الرسمية لبرامج معروفة. وقد كشف باحثو كاسبرسكي عن أكثر من 90 نطاقاً إلكترونياً متاحاً بعشر لغات، تشمل الإنجليزية والعربية والإسبانية والصينية والألمانية والبرتغالية والروسية، الأمر الذي وسّع نطاق الحملة لتطال ضحايا في مختلف أنحاء العالم. وتركزت الهجمات على مستخدمي نظام ويندوز سواء كانوا أفراداً أو مؤسسات.

كشفت كاسبرسكي، إثر رصدها للحادثة عبر خدمة الاكتشاف والاستجابة المدارة Managed Detection and Response ، عن حملة هجمات واسعة النطاق اعتمد فيها المهاجمون على مواقع إلكترونية مزيفة لنشر أرشيفات تثبيت تبدو كأنها إصدارات رسمية لبرامج شائعة، مثل OBS Studio، وDNS Jumper، وDS4Windows، وGlary Utilities، وBandicam. ولتعزيز انتشار الحملة، استخدم المهاجمون تقنيات تحسين محركات البحث (SEO) لزيادة ظهور هذه المواقع في مقدمة نتائج البحث.

وفي أكثر من 90 موقعاً إلكترونياً مزيفاً جرى تحديدها ضمن هذه الحملة، اتبع المهاجمون النهج ذاته؛ إذ كان الضحايا الذين يحمّلون ما يعتقدون أنه برنامج أصلي يتلقون في الواقع أداة التحكم عن بُعد ScreenConnect التي توفر للمهاجمين وصولاً مستمراً إلى الأجهزة المصابة، قبل أن يتم نشر AsyncRAT، وهي برمجية حصان طروادة مفتوحة المصدر تمنحهم تحكماً كاملاً بالأنظمة المخترقة. وتشير البيانات إلى أن تسجيل أسماء النطاقات المرتبطة بهذه الحملة بلغ ذروته في فبراير 2026، بينما استخدم المهاجم ذاته خلال عام 2025 مواقع ويب مزيفة لإخفاء برامج تثبيت خبيثة على أنها ألعاب.
تحدث عملية الإصابة عبر أرشيفات خبيثة تحتوي على ملف Microsoft أصلي وموقّع باسم install.exe، بالإضافة إلى مكتبة install.res.1033.dll. ويتم تحميل ملف DLL على الجهاز عبر تقنية تحميل DLL الجانبي (DLL Sideloading)، ليقوم بعد ذلك بتثبيت خدمة ScreenConnect التي تظل نشطة بانتظار أوامر إضافية من المهاجمين.

ويقول دينيس كوليك، تحليل محللي مركز العمليات الأمنية في كاسبرسكي: «تستهدف هذه الحملة مستخدمي الأدوات المجانية المتاحة عبر الإنترنت، وكذلك بيئات الشركات التي يُسمح فيها عادةً بأدوات الوصول عن بُعد وتُمنح صلاحيات موسعة ضمن البرامج المسموح بها. ويكمن خطرها في أنها قد تتيح تنفيذ عمليات واسعة لسرقة بيانات الاعتماد والوصول غير المشروع إلى الأنظمة، على أن يتم تداول البيانات المسروقة لاحقاً وبيعها في أسواق ومنتديات الشبكة المظلمة.»

ولتقليل المخاطر الناتجة عن هذا التهديد، ينصح خبراء كاسبرسكي الشركات بما يلي:

●      تطبيق سياسات صارمة للتحكم في تثبيت البرامج، مثل اعتماد قوائم التطبيقات المسموح بها وحظر تثبيت حزم MSI من مصادر غير موثوقة.

●      متابعة ورصد أي خدمات تحكم عن بُعد مستحدثة أو مهام مجدولة يتم إضافتها إلى الأنظمة بشكل مستمر.

●      التحكم في حركة المرور الصادرة عبر الشبكة، مع حظر أي اتصالات غير معروفة إلى نطاقات أو عناوين IP مشبوهة.

●      إبقاء الموظفين على اطلاع دائم بأحدث التهديدات. وتساعد منصة Kaspersky Automated Security Awareness Platform في تطوير وعي إلكتروني قوي، بما في ذلك أساليب التحميل الآمن.

●      تحقّق من موثوقية مصادر البرامج قبل تحميلها أو استخدامها.

●      دعم إجراءات الأمان القائمة من خلال قدرات كشف تعتمد على الخبراء البشريين ومعلومات التهديدات العالمية عبر حلول مثل Kaspersky Managed Detection and Response الذي يوفر مراقبة دائمة، وتحليل للحوادث، مع الاستجابة السريعة والمتكاملة للهجمات السيبرانية المتقدمة.

●      مراقبة بيانات تسجيل الدخول بشكل دوري للكشف عن أي علامات اختراق، إذ قد يتحول أي حساب أو صلاحية وصول مخترقة إلى وسيلة لتنفيذ هجمات إضافية على المؤسسة. ويوفر حل Kaspersky Digital Footprint Intelligence رصداً مستمراً عبر مصادر الشبكة المفتوحة والشبكة المظلمة؛ مما يساعد في التعامل السريع مع التهديدات قبل تفاقمها.

ويوصي خبراء كاسبرسكي المستخدمين أيضاً باتباع النصائح التالية:

●      توخي الحذر عند تحميل أي ملفات، والالتزام فقط بالمصادر الموثوقة للبرمجيات والوسائط، إذ قد تحتوي بعض التحميلات من مواقع غير آمنة على برمجيات خبيثة مدمجة داخل برمجيات تبدو أصلية.

●      استخدم حل حماية شامل على جميع الأجهزة مثل Kaspersky Premium  الذي يقوم بالكشف المبكر عن التهديدات المحتملة ويمنع تثبيت أو تشغيل البرمجيات الضارة.

●      استخدم المصادقة الثنائية أو متعددة العوامل لحماية حساباتك، وقم بمتابعة حساباتك المالية بانتظام لاكتشاف أي عمليات مشبوهة في وقت مبكر.

●      تحقق من صحة المواقع الإلكترونية قبل إدخال أي بيانات، وذلك بمراجعة الرابط بدقة والانتباه إلى أي اختلافات في أسماء المؤسسات أو تهجئتها.

يمكن الاطلاع على التقرير الكامل عبر الموقع التالي Securelist.com.

حملة احتيالية واسعة النطاق تنشر برمجيات RAT عبر أداة ScreenConnect

يعمد المهاجمون إلى نشر أداة التحكم عن بُعد ScreenConnect من خلال مواقع ويب احتيالية تحاكي المواقع الرسمية لبرامج معروفة. وقد كشف باحثو كاسبرسكي عن أكثر من 90 نطاقاً إلكترونياً متاحاً بعشر لغات، تشمل الإنجليزية والعربية والإسبانية والصينية والألمانية والبرتغالية والروسية، الأمر الذي وسّع نطاق الحملة لتطال ضحايا في مختلف أنحاء العالم. وتركزت الهجمات على مستخدمي نظام ويندوز سواء كانوا أفراداً أو مؤسسات.
Kaspersky logo

نبذة عن ⁦Kaspersky⁩

⁦Kaspersky⁩ هي شركة عالمية متخصصة في الأمن السيبراني والخصوصية الرقمية تأسست عام ⁦1997⁩. وتقود ⁦Kaspersky⁩ الابتكار في هذا القطاع عبر نهج المناعة السيبرانية، حيث تحمي المستهلكين والشركات والبنية التحتية الحيوية، والحكومات من التهديدات السيبرانية، حيث نجحت في حماية أكثر من مليار جهاز حتى اليوم.

تعمل ⁦Kaspersky⁩ وفقًا لشعارها "⁦Cybersecurity True to Business⁩"، مع التركيز على توفير نتائج واضحة وحماية الإيرادات وتخفيف أعباء العمل ومنع أوقات توقف العمليات. وتتحول خبرات ⁦Kaspersky⁩ العميقة في معلومات التهديدات والأمن باستمرار إلى حلول وخدمات مبتكرة للمؤسسات بمختلف أحجامها، بدءًا من الشركات الصغيرة ووصولاً إلى الشركات الكبيرة، حيث تجمع بين تقنيات الحماية المثبتة والمعتمدة على الذكاء الاصطناعي، وسهولة الإدارة، والدعم المتخصص.

تحظى ⁦Kaspersky⁩ بتقدير كبير في الاختبارات المستقلة، وتكسب ثقة ملايين الأفراد حول العالم وما يقرب من ⁦200⁩,⁦000⁩ مؤسسة؛ حيث تساعد في اكتشاف التهديدات بشكل مبكر، والاستجابة لها بسرعة أكبر، والعمل بثقة وحرية أعلى، لحماية كل ما يهم عملاؤنا. تفضل بمعرفة المزيد على ⁦www.kaspersky.com⁩.

مقالة ذات صلة النشرات الصحفية