كشفت حملة هجومية جديدة عن أسلوب خبيث يستغل ثقة المستخدمين في البرامج المعروفة، حيث يتم خداعهم لتثبيت برامج وصول عن بعد على أنظمتهم عبر تقمص شخصية أدوبي أكروبات ريدر.
تعتمد هذه الحملة على سلسلة معقدة من التقنيات، بما في ذلك التنفيذ في الذاكرة، وتقمص العمليات، وتصعيد الامتيازات، لنشر برنامج ScreenConnect من ConnectWise دون ترك آثار واضحة على جهاز الضحية.
تكمن خطورة هذه الحملة في الاستفادة من العلامات التجارية الموثوقة مثل أدوبي. فعندما يرى المستخدمون زر تنزيل مألوف لبرنامج Adobe Acrobat Reader، فإنهم ينقرون عليه دون تردد.
وقد استغل المهاجمون هذه الثقة بالكامل، فبدلاً من تقديم المثبت الفعلي، تقوم الصفحة المزيفة بصمت بتنزيل ملف VBScript مشفر للغاية يحمل اسم Acrobat_Reader_V112_6971.vbs، والذي يبدأ بتنفيذ كامل الهجوم.
تفاصيل حملة ScreenConnect الخبيثة
تمكن باحثون في Zscaler ThreatLabz من تحديد هذه السلسلة الهجومية في فبراير 2026، وتتبعوها من الأداة الأولية وصولاً إلى نشر ScreenConnect.
ووفقاً لـ كايفاليا خورسال، باحث في Zscaler، فقد استخدم المهاجمون طبقات متعددة من التشفير والتنفيذ المباشر في الذاكرة لتقليل البصمة على القرص، مما يجعل الكشف والتحليل الجنائي أكثر صعوبة.
تتميز هذه الحملة باستخدامها لأداة إدارة ومراقبة عن بعد (RMM) شرعية، وهو اتجاه متزايد بين الجهات الخبيثة لمحاولة دمج الأنشطة الضارة مع العمليات التشغيلية الطبيعية.
برنامج ScreenConnect بحد ذاته ليس برمجية خبيثة، بل هو أداة وصول سطح مكتب شرعية يستخدمها مسؤولو تكنولوجيا المعلومات حول العالم.
ولكن، عند تثبيته دون علم المستخدم، فإنه يمنح المهاجمين سيطرة كاملة عن بعد على الجهاز المصاب، مما يسمح لهم بسرقة الملفات، أو نشر حمولات إضافية، أو المحافظة على تواجد دائم.
ونظراً لأن ScreenConnect يتصرف كبرنامج شرعي، فإن العديد من برامج مكافحة الفيروسات وحلول الكشف والاستجابة لنقاط النهاية (EDR) لا تكتشفه، مما يجعله وسيلة نشر فعالة للغاية.
وتقوم الصفحة الاحتيالية المستخدمة في هذه الحملة، والتي يمكن الوصول إليها عبر eshareflies[.]im/ad/، بتقليد موقع أدوبي الرسمي بدقة. بمجرد وصول الضحية إليها، يبدأ التنزيل تلقائياً.
يعد برنامج VBScript المحمل هو أول ملف خبيث يتم إرساله، ومن هذه النقطة فصاعداً، يعمل الهجوم بشكل شبه كامل في الذاكرة لتجنب ترك دليل.
آلية عمل الهجوم خطوة بخطوة
يتكشف الهجوم في سلسلة منظمة من المراحل، كل منها مصمم لتمهيد الطريق للمرحلة التالية. يبدأ هذا فور وصول ملف VBScript إلى نظام الضحية.
تم بناء برنامج VBScript المحمل لمقاومة التحليل. فبدلاً من الإشارة مباشرة إلى كائنات النظام، يقوم ببنائها ديناميكياً في وقت التشغيل باستخدام دوال استبدال السلاسل المتداخلة.
على سبيل المثال، بدلاً من كتابة “WScript.Shell” كنص واضح، يقوم المحمل بتجميع هذا الاسم من سلسلة طويلة مشوشة لا يتم فك تشفيرها إلى قيمة قابلة للقراءة إلا عند تشغيل البرنامج النصي بالفعل.
هذا النهج يمنع ظهور الاسم بوضوح في الملف، مما يجعل أدوات الفحص الآلي أقل فعالية بكثير.
ثم يقوم المحمل بتنفيذ أمر متابعة مجمع من عشرات استدعاءات الدالة Chr() مع تعبيرات حسابية، كل منها يتم فك تشفيرها إلى حرف ASCII واحد أثناء التنفيذ.
يعمل الأمر بصمت في نافذة مخفية، دون أي مؤشر مرئي للضحية على أن شيئاً غير عادي يحدث.
بمجرد تشغيل VBScript، يقوم بإطلاق PowerShell مع الخيار -ExecutionPolicy Bypass، مما يسمح بتشغيل البرامج النصية حتى على الأنظمة ذات السياسات المحلية المقيدة.
يقوم PowerShell بعد ذلك بتنزيل ملف من Google Drive، وقراءته بالكامل في الذاكرة، وتجميعه كشفرة مصدر C# — والأهم من ذلك، دون كتابة النتيجة المجمعة على القرص.
هذا هو المحمل في الذاكرة، وهو تجميع .NET مضمن داخل مصفوفة بايت كبيرة. باستخدام الانعكاس .NET مع Assembly.Load(byte[]) و EntryPoint.Invoke()، يقوم المحمل بتنفيذ المرحلة التالية بالكامل داخل العملية قيد التشغيل.
للتهرب من الكشف بشكل أكبر، ينفذ المحمل تقنية تسمى معالجة كتلة بيئة العملية (PEB). PEB هو هيكل ذاكرة في Windows يخزن معلومات حول عملية قيد التشغيل، بما في ذلك اسمها ومسار ملفها.
يقوم المحمل بإعادة كتابة هذه الحقول لجعله يبدو وكأنه winhlp32.exe، وهو برنامج مساعد مساعد شرعي في Windows. أدوات الأمان وبرامج المراقبة في وضع المستخدم التي تعتمد على بيانات PEB الوصفية سترى عملية تبدو شرعية بدلاً من المحمل الخبيث.
بالإضافة إلى تقمص العمليات، استغل المهاجمون كائنات COM (Component Object Model) التي يتم رفع امتيازاتها تلقائياً في Windows لتجاوز التحكم في حساب المستخدم (UAC).
في العادة، سيعرض UAC طلباً يطلب من المستخدم الموافقة على الإجراءات ذات مستوى المسؤول.
من خلال استهداف معرفات فئة COM محددة تقوم Windows بتشغيلها تلقائياً بامتيازات مرتفعة، يحصل المحمل على وصول المسؤول بصمت.
يتم تخزين اسم الرفع (elevation moniker) في معكوس داخل الشفرة ولا يتم قلبه إلا في وقت التشغيل، مما يجعل الكشف الثابت عن التوقيع أكثر صعوبة.
مع الحصول على امتيازات مرتفعة كاملة، يتم تنفيذ المرحلة النهائية. يقوم أمر PowerShell، الذي يتم فك تشفيره في وقت التشغيل، بإنشاء الدليل C:Temp، وتنزيل ScreenConnect.ClientSetup.msi من x0[.]at/qOfN.msi، وتثبيته باستخدام msiexec.
بمجرد اكتمال التثبيت، يحصل المهاجم على وصول عن بعد إلى جهاز الضحية من خلال البنية التحتية الشرعية لـ ScreenConnect.
يجب على المستخدمين تجنب تنزيل البرامج من مواقع غير رسمية أو غير مألوفة، حتى لو بدت الصفحة شرعية. يجب على المؤسسات نشر قائمة بيضاء للتطبيقات لمنع تثبيت أدوات RMM غير المصرح بها.
يُنصح فرق الأمن بمراقبة تنفيذ PowerShell غير العادي مع علامات -ExecutionPolicy Bypass والتنبيه عند تثبيت ملفات MSI غير المتوقعة.
يمكن أيضاً حظر الوصول إلى عناوين URL غير الموثوقة لاستضافة الملفات، مثل تلك الموجودة على Google Drive عند بدء تشغيلها بواسطة برامج نصية، لتقليل التعرض. يوصى بشدة بتمكين حلول EDR القادرة على اكتشاف معالجة PEB وتجاوز UAC المستند إلى COM.