كشفت حملة تصيد احتيالي جديدة عن تهديد سيبراني متزايد يستهدف المستخدمين المؤسسيين، حيث يتم إخفاء برمجيات خبيثة ك تطبيقات شائعة الاستخدام مثل Microsoft Teams و Zoom. اللافت للنظر في هذه البرمجيات الخبيثة هو امتلاكها توقيعات رقمية تبدو شرعية، مما يجعل اكتشافها صعبًا على المستخدمين العاديين وحتى أدوات الأمان الأساسية.
بدأت هذه الحملة في الظهور لأول مرة في فبراير 2026، حيث شهدت موجات متعددة من رسائل البريد الإلكتروني الاحتيالي التي تستهدف المؤسسات، وتركزت حول دعوات الاجتماعات، والمستندات المالية، والفواتير، والإشعارات الروتينية للعمل. صُممت كل رسالة لإقناع المستلم بتنزيل ما يبدو وكأنه تحديث للبرامج، أو مثبت لتطبيق قياسي.
أطلقت Microsoft Defender Experts على هذه الحملات اسم “التوقيع الخبيث” بعد اكتشافها عبر أدوات تتبع Defender، مؤكدةً على جهود متعمدة ومتعددة الأوجه من قبل جهة فاعلة مجهولة. ولاحظ الباحثون أن المهاجم استغل الاعتراف بالعلامات التجارية كسلاح أساسي؛ فعندما يحمل الملف توقيعًا رقميًا سليمًا ويبدو كتطبيق معروف، فإن معظم المستخدمين لا يشككون فيه.
حملة التوقيع الخبيث تستغل الثقة في التطبيقات
بمجرد تشغيل ملفات البرامج الخبيثة الموقعة، تمت عملية نشر أدوات المراقبة والإدارة عن بُعد (RMM) بصمت، وتحديداً ScreenConnect و Tactical RMM و Mesh Agent. سمح هذا للمهاجم بالسيطرة على الجهاز المخترق بشكل مستمر وخفي، مما يعزز خطر اختراق البيانات.
تتجاوز آثار هذه الحملة مجرد جهاز واحد مصاب. فبفضل أدوات RMM التي تعمل في الخلفية، يمكن للمهاجم التحكم في النظام عن بُعد، والتحرك جانبيًا عبر الشبكة، وسرقة البيانات الحساسة، ونشر حمولات إضافية، كل ذلك دون إطلاق الإنذارات التي قد تنبه الضحية أو فريق الأمان.
نظراً لأن هذه هي منصات برمجية شرعية تم إعادة استخدامها لأغراض خبيثة، فإن أدوات الكشف التي تعتمد على المسح المستند إلى التوقيع غالبًا ما تسمح لها بالمرور دون اكتشاف. إن مزيج الإغراءات التصيدية، والأسماء التجارية المألوفة، والشهادات الصالحة، وأطر عمل RMM الموثوقة، جعل هذه الحملة صعبة للغاية في إيقافها عند نقطة الدخول الأولية.
آلية عمل البرمجيات الخبيثة
بعد تشغيل أحد التطبيقات المزيفة، تتبع البرمجية الخبيثة سلسلة من الخطوات المحددة لترسيخ وجودها في نظام التشغيل. قامت الملفات التنفيذية أولاً بإنشاء نسخة ثانوية تحت مسار “C:Program Files”، لجعلها تبدو كبرنامج مثبت بشكل صحيح بدلاً من ملف تم إسقاطه من المتصفح.
ثم قامت بتسجيل هذه النسخة كخدمة في نظام Windows، مما يضمن بدء تشغيل الباب الخلفي تلقائيًا مع كل إعادة تشغيل للنظام. كإجراء إضافي للمثابرة، تم كتابة مفتاح تسجيل Run تحت المسار HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun، تحت اسم القيمة “TrustConnectAgent”، موجهًا مباشرة إلى الملف التنفيذي المقنع.
بعد ذلك، فتحت البرمجية الخبيثة اتصالًا صادرًا إلى النطاق الذي يتحكم فيه المهاجم (C2) trustconnectsoftware[.]com. تم سحب أوامر PowerShell المشفرة لتنزيل ملفات مثبت عميل ScreenConnect (بامتداد .msi) إلى المجلد المؤقت للنظام، وقامت أداة msiexec.exe من Windows بتنفيذها بصمت. أدى ذلك إلى تضمين إدخالات تسجيل متعددة تحت HKLMSYSTEMControlSet001ServicesScreenConnect Client، مما أدى إلى تثبيت الباب الخلفي في نظام التشغيل للبقاء حتى بعد إعادة التشغيل والحفاظ على الوصول المستمر.
لتعزيز سيطرتها على البيئة، استخدم المهاجم نفس مسار PowerShell لنشر Tactical RMM، والذي بدوره قام بتثبيت MeshAgent كقناة وصول عن بعد ثالثة. كان هذا النهج المتدرج محسوباً – فإذا تم اكتشاف باب خلفي واحد وإزالته، تظل الأبواب الخلفية الأخرى قيد التشغيل دون انقطاع.
تنصح المنظمات بحظر أدوات RMM غير المعتمدة باستخدام Windows Defender Application Control أو AppLocker. يجب تفعيل المصادقة متعددة العوامل على جميع أنظمة RMM المعتمدة. يجب تمكين ميزات Safe Links، و Safe Attachments، و Zero-hour Auto Purge لاعتراض رسائل البريد الإلكتروني الضارة قبل تفاعل المستخدمين معها. يجب أن يظل نظام الحماية المستند إلى السحابة نشطًا على برامج مكافحة الفيروسات لنقاط النهاية لاكتشاف سلالات البرامج الضارة الجديدة بسرعة. ويجب نشر قواعد تقليل سطح الهجوم التي تستهدف الملفات التنفيذية غير الموثوق بها وإنشاء عمليات تعتمد على PsExec أو WMI عبر جميع نقاط النهاية.