تُشكل البرامج النصية لواجهة المستخدم الرسومية (Screensaver) الجديدة التي يستغلها المهاجمون تهديداً متزايداً للأمن السيبراني، حيث تتيح لهم الفرصة لنشر أدوات الإدارة والمراقبة عن بعد (RMM) واكتساب وصول غير مصرح به إلى الأنظمة.
وتكشف حملة جديدة عن هذه الاستراتيجية الخادعة التي يستخدمها مجرمو الإنترنت، بالاستفادة من ملفات .scr المصممة لتعمل كصور شاشة لتنفيذ هذه الأنشطة الضارة.
وتسمح هذه الطريقة للمهاجمين بنشر أدوات RMM شرعية، مما يمنحهم وصولاً عن بعد ثابتاً ويتجاوز بذلك ضوابط الأمان القياسية بفعالية. ومن خلال استخدام برامج موثوقة وخدمات سحابية، يمكن لهؤلاء المهاجمين تمويه أنشطتهم الخبيثة ضمن حركة مرور الشبكة الطبيعية، مما يجعل اكتشافها أكثر صعوبة لمراكز عمليات الأمن.
استغلالات جديدة لملفات Screensaver في هجمات البرامج النصية لواجهة المستخدم الرسومية
تبدأ الهجمة عادةً برسالة بريد إلكتروني تصيدية موجهة، تحث المستخدمين على النقر على رابط مستضاف على منصة تخزين سحابي شرعي، مثل GoFile. ويتم إغراء الضحايا بتنزيل ملف يبدو وكأنه مستند عمل روتيني، وغالباً ما يحمل أسماء مثل “InvoiceDetails.scr” أو “ProjectSummary.scr” ليبدو أصيلاً.
وأشار محللو Reliaquest إلى أن هذا الاستخدام المحدد للملفات ذات المظهر التجاري لتسليم ملفات .scr يمثل تحولاً ملحوظاً في الاستراتيجية، حيث غالباً ما تتجاهل ملفات Screensaver من قبل المستخدمين الذين لا يدركون أنها قابلة للتنفيذ بالكامل.
وبمجرد أن يقوم المستخدم غير المتشككين بتشغيل الملف، يتم تثبيت عامل RMM شرعي، مثل SimpleHelp، بصمت على النظام. ولأن هذه الأدوات تستخدم على نطاق واسع للدعم الفني المشروع، فإن تثبيتها وحركة مرور الشبكة اللاحقة غالباً لا تثير إنذارات أمنية.
ويمنح هذا التثبيت المبدئي للمهاجمين تحكماً تفاعلياً، مما يمكنهم من سرقة البيانات الحساسة، أو التحرك جانبياً عبر الشبكة، أو حتى نشر حمولات برامج الفدية (ransomware).
آليات التهرب والمثابرة
يكمن الفعالية الأساسية لهذه الحملة في قدرتها على إخفاء النوايا الخبيثة خلف بنية تحتية موثوقة. فمن خلال استخدام خدمات الاستضافة السحابية الشرعية للتسليم وبرامج RMM المعتمدة للقيادة والتحكم، يتجاوز المهاجمون بفعالية الدفاعات القائمة على السمعة.
ويُعتبر تنسيق ملف .scr خطيراً بشكل خاص لأن نظام ويندوز يعامله كملف تنفيذي محمول (PE)، ومع ذلك، تفشل العديد من المؤسسات في تطبيق نفس الضوابط الصارمة على ملفات Screensaver التي تطبقها على ملفات .exe أو .msi.
وعند تثبيت عامل RMM، فإنه ينشئ اتصالاً مشفراً ببنية المهاجم التحتية. وبما أن هذه الحركة المرورية تحاكي النشاط الإداري الشرعي، فإنها غالباً ما تتجاوز قواعد جدار الحماية وأنظمة كشف التسلل.
هذا النهج القائم على “العيش على الأرض” يقلل من حاجة المهاجمين إلى برامج ضارة مخصصة، مما يخفض تكاليف التطوير لديهم، وفي الوقت نفسه يزيد من صعوبة الاحتواء للمدافعين الذين يجب عليهم التمييز بين الوصول عن بعد المصرح به وغير المصرح به.
وللدفاع ضد هذا التهديد، يجب على المؤسسات التعامل مع ملفات .scr بنفس الحذر الذي تتعامل به مع الملفات التنفيذية الأخرى. ويجب على فرق الأمن حظر أو تقييد تنفيذ ملفات Screensaver بشكل صارم من المواقع التي يمكن للمستخدم الكتابة فيها، مثل مجلد التنزيلات، لمنع الإصابة الأولية.
علاوة على ذلك، من الضروري الحفاظ على قائمة صارمة ومسموح بها لأدوات RMM المعتمدة والتحقيق في أي تثبيت غير متوقع لبرامج الإدارة عن بعد لضمان التعرف على الوكلاء غير المصرح بهم وإزالتهم بسرعة.