كشفت تقارير أمنية حديثة عن استغلال جهة خبيثة لثغرة في آلية تحديث برنامج لشركة Dragon Boss Solutions، مما أدى إلى تعرض أكثر من 25,000 نقطة نهاية حول العالم للخطر. بدأت الحادثة كإنذار بشأن برمجيات إعلانية، لكنها تطورت بسرعة لتصبح هجوماً معقداً يهدف إلى تعطيل برامج مكافحة الفيروسات، تاركاً الأنظمة عرضة للاختراقات.
في 22 مارس 2026، بدأت تنبيهات أمنية بالظهور عبر بيئات مدارة متعددة، كلها مرتبطة ببرامج موقعة رقمياً من قبل شركة Dragon Boss Solutions LLC. هذه البرامج، التي تبدو للوهلة الأولى غير ضارة، كانت تستخدم آلية تحديث مدمجة لتنفيذ هجوم متعدد المراحل مصمم لإيقاف أدوات الأمان وترك الأنظمة مكشوفة.
الهجوم الممنهج في تحديثات Dragon Boss Solutions
تقدم شركة Dragon Boss Solutions نفسها كشركة تعمل في مجال “أبحاث تحقيق الدخل من البحث”. ومع ذلك، فقد استخدمت برامجها الموقعة هدفاً أكثر خبثاً. هذه الملفات التنفيذية، التي تعمل بصلاحيات SYSTEM الكاملة، كانت تقوم بصمت بجلب ونشر حمولات قادرة على تعطيل منتجات الأمان عبر الأجهزة المصابة.
لوحظ سلوك قتل برامج مكافحة الفيروسات هذا لأول مرة في أواخر مارس 2025، على الرغم من أن المحملات وآليات التحديث الأساسية كانت موجودة على أنظمة الضحايا منذ أواخر عام 2024.
آلية الهجوم وكسر الحماية
استخدمت العملية أداة تحديث شرعية تسمى Advanced Installer لتسليم حمولات بصيغة MSI وPowerShell، بينما كانت تتخفى خلف قناع من الشرعية. اكتشف باحثو Huntress، جيمس نورثي وريان داود، التهديد بعد ظهور إشارات إلى ثبات WMI عبر البيئات المدارة.
بتتبع النشاط إلى مصدره، اكتشفوا ملفاً تنفيذياً موقعاً يسمى RaceCarTwo.exe كنقطة انطلاق لسلسلة العدوى بأكملها. من هناك، نشر الهجوم Setup.msi، والذي بدوره نفذ سكربت PowerShell يسمى ClockRemoval.ps1 — وهو أداة قادرة على القتل، لم تكتفِ بإيقاف عمليات الأمان، بل منعت بنشاط أي محاولة لإعادة تثبيتها.
نقطة الضعف الحرجة: نطاق تحديث غير مسجل
ما جعل الوضع مقلقاً بشكل خاص هو عيب حرج تم تضمينه في إعدادات التحديث. كان نطاق التحديث الأساسي، chromsterabrowser[.]com، غير مسجل تماماً، مما يعني أن أي شخص مستعد لإنفاق حوالي 10 دولارات لتسجيله سيحصل فوراً على القدرة على إرسال أي حمولة إلى كل نقطة نهاية مصابة تشغل هذا المتغير من البرنامج.
قامت Huntress بتسجيل النطاق أولاً، ووجهته إلى مصرف (sinkhole)، وفي غضون ساعات، بدأت عشرات الآلاف من الأنظمة المصابة في الاتصال بحثاً عن تعليمات — سواء كانت برامج فدية، أو برامج سرقة بيانات، أو أي شيء آخر تماماً.
خلال نافذة مراقبة مدتها 24 ساعة، اتصل 23,565 عنوان IP فريد بالمصرف، مما يؤكد النطاق الحقيقي للإصابات النشطة في جميع أنحاء العالم. كان الانتشار الجغرافي للحملة كبيراً، حيث تصدرت الولايات المتحدة قائمة الإصابات بـ 12,697 جهازًا (53.9%)، تليها فرنسا بـ 2,803 (11.9%)، وكندا بـ 2,380 (10.1%)، والمملكة المتحدة بـ 2,223 (9.4%)، وألمانيا بـ 2,045 (8.7%).
تأثير واسع على القطاعات الحيوية
من بين جميع الإصابات، تم تتبع 324 منها إلى شبكات ذات قيمة عالية، بما في ذلك 221 من الجامعات والكليات، و 41 شبكة تكنولوجيا تشغيل مرتبطة بمرافق كهربائية وبنية تحتية حيوية، و 35 كياناً حكومياً، و 24 مدرسة ابتدائية وثانوية، و 3 مؤسسات رعاية صحية. كما كانت شبكات متعددة لشركات ضمن قائمة Fortune 500 من بين المتأثرين.
داخل حمولة تعطيل مكافحة الفيروسات
كان سكربت ClockRemoval.ps1 هو جوهر القدرة التدميرية للهجوم. بمجرد نشره عبر حزمة تحديث MSI، قام بتنفيذ مسح شامل للنظام المصاب — حيث قام بقتل عمليات مكافحة الفيروسات، وتجريد خدماتها من خلال معالجة سجل النظام (Registry)، وإنشاء خمس مهام مجدولة تعمل بصلاحيات SYSTEM.
هذه المهام — ClockSetupWmiAtBoot، و DisableClockServicesFirst، و DisableClockAtStartup، و RemoveClockAtLogon، و RemoveClockPeriodic — ضمنت إزالة أدوات الأمان عند كل إعادة تشغيل، وعند بدء التشغيل، وكل 30 دقيقة.
قام السكربت أيضًا بتعديل ملف hosts في نظام Windows لإعادة توجيه نطاقات تحديث بائعي برامج مكافحة الفيروسات، بما في ذلك تلك الخاصة بـ Malwarebytes وKaspersky، إلى 0.0.0.0، مما قطع جميع طرق إعادة التثبيت.
تمت ملاحظة ثنائيات Chrome الموقعة من Dragon Boss Solutions وهي تعمل مع العلامة --simulate-outdated-no-au="01 Jan 2199"، مما أدى إلى تعطيل ميزة التحديث التلقائي لـ Chrome بشكل دائم.
يجب على فرق الأمان البحث عن اشتراكات أحداث WMI التي تحتوي على “MbRemoval” أو “MbSetup” في اسم المستهلك، ومراقبة المهام المجدولة التي تشير إلى أدلة WMILoad أو سكربتات ClockRemoval، وتمييز أي عمليات موقعة من Dragon Boss Solutions LLC، وفحص ملف hosts بحثًا عن نطاقات بائعي برامج مكافحة الفيروسات المحظورة، والتحقق من مسارات استثناءات Windows Defender بحثًا عن إدخالات مشبوهة مثل DGoogle أو EMicrosoft أو DDapps.