تنتشر حملة تصيد احتيالي جديدة تستغل دعوات حفلات وهمية لخداع المستخدمين وزرع برامج الوصول عن بعد على أجهزة ويندوز، مما يمنح المهاجمين سيطرة كاملة على الأنظمة المخترقة.
بدأت هذه الحملة عبر رسائل بريد إلكتروني تبدو وكأنها دعوات شخصية من الأصدقاء، مستفيدة من الثقة والعلاقات الاجتماعية لتقليل شكوك الضحايا. وغالباً ما تأتي هذه الرسائل من حسابات بريد إلكتروني مخترقة، مما يعزز من مصداقيتها الظاهرية.
حملة تصيد تستخدم دعوات حفلات لزرع برامج وصول عن بعد
تستهدف الحملة في المقام الأول مستخدمي أجهزة ويندوز، حيث تعمل على استغلالهم للحصول على وصول غير مقيد إلى بياناتهم وملفاتهم الحساسة. وقد تم رصدها بشكل مكثف في المملكة المتحدة، ولكن لا توجد ما يمنع انتشارها إلى مناطق أخرى.
آلية عمل التصيد الاحتيالي
عندما ينقر الضحية على الرابط الموجود في الدعوة الوهمية، يتم توجيهه إلى صفحة ويب مصممة بعناية لتبدو وكأنها دعوة حقيقية. تتضمن الصفحة عنواناً بارزاً مثل “أنت مدعو!” ورسائل تشير إلى أن صديقاً قد أرسل الدعوة، مع التأكيد على ضرورة فتحها على جهاز ويندوز.
تضيف الصفحة مؤقتاً لإضفاء إحساس بالاستعجال، حيث توحي بأن الدعوة بدأت بالتنزيل بالفعل. بالإضافة إلى ذلك، تستخدم عبارات مثل “فتحت دعوتي وكانت سهلة جداً!” لدفع المستخدم نحو تنفيذ الملف.
بعد ثوانٍ قليلة، يقوم المتصفح تلقائياً بتنزيل ملف بصيغة MSI يحمل اسم RSVPPartyInvitationCard.msi.
زرع برامج ScreenConnect
في الواقع، هذا الملف ليس دعوة، بل هو مثبت صامت لبرنامج ScreenConnect Client. وعند تشغيله، يقوم بتثبيت البرنامج على جهاز الضحية دون إظهار أي إشعارات واضحة للمستخدم، مما يجعل من الصعب اكتشاف ما يحدث.
يتم تثبيت ملفات ScreenConnect في مسار C:Program Files (x86)ScreenConnect Client. كما يتم إنشاء خدمة ويندوز دائمة تحمل اسماً عشوائياً يتضمن أحرفاً وأرقاماً، مثل ScreenConnect Client 18d1648b87bb3023.
السيطرة عن بعد وبيانات حساسة
بمجرد اكتمال التثبيت، يبدأ ScreenConnect بإنشاء اتصالات مشفرة عبر بروتوكول HTTPS مع خوادم الترحيل الخاصة بـ ScreenConnect. وهذا يمنح المهاجمين نفس صلاحيات فني الدعم عن بعد، بما في ذلك مشاهدة شاشة الضحية مباشرة، والتحكم في الفأرة ولوحة المفاتيح، وتحميل أو تنزيل الملفات، والحفاظ على الوصول حتى بعد إعادة تشغيل النظام.
من الجدير بالذكر أن ScreenConnect هو برنامج شرعي يستخدم عادة للدعم الفني عن بعد، مما قد يمنع أدوات الأمان التقليدية من اكتشافه كبرنامج ضار. وغالباً ما تظهر علامات الاختراق كسلوكيات غير طبيعية، مثل حركات الفأرة المفاجئة، أو فتح النوافذ بدون تدخل المستخدم، أو تشغيل عمليات غير معروفة في الخلفية.