حملة برمجيات خبيثة تستغل فترة الضرائب لتثبيت برامج قاتلة
كشفت تحقيقات حديثة عن حملة ضخمة للبرمجيات الخبيثة تستغل فترة تقديم الإقرارات الضريبية في الولايات المتحدة، حيث يهدف المهاجمون إلى استغلال حاجة المستخدمين الملحة للحصول على نماذج الضرائب. بدأت هذه الحملة منذ يناير 2026، وتستخدم إعلانات جوجل المدفوعة لتضليل المستخدمين وتوجيههم إلى صفحات ويب احتيالية، بهدف نهائي يتمثل في تثبيت برامج قاتلة لأنظمة اكتشاف ومنع نقاط النهاية (EDR) تعمل في وضع نواة النظام.
تستهدف هذه الحملة الأفراد في الولايات المتحدة الذين يبحثون عن نماذج ضرائب مثل W-2 و W-9. وتقوم الصفحات الضارة بتقليد بوابات الامتثال الخاصة بمصلحة الضرائب الأمريكية (IRS) بهدف خداع الموظفين والعاملين لحسابهم الخاص وأصحاب الشركات الصغيرة خلال موسم تقديم الضرائب.
آلية الهجوم: من البحث إلى الاختراق
تبدأ عملية الهجوم ببحث بسيط. عندما يبحث المستخدم عن “نموذج ضريبة W2” على محرك جوجل، يقوده إعلان مدفوع إلى نطاق “anukitax[.]com”، والذي بدوره يعيد التوجيه إلى “bringetax[.]com”، وهو الموقع الفعلي الذي يتم فيه تسليم مثبت ScreenConnect الضار باسم “form_w9.msi”.
يُذكر أن ScreenConnect هي أداة إدارة عن بعد شرعية، وهذا ما يجعل المستخدمين يقومون بتثبيتها دون تردد. بمجرد تفعيل الأداة، يحصل المهاجم على وصول كامل “يدوي” إلى الجهاز عبر نسخة تجريبية سحابية، دون الحاجة إلى موافقة مؤسسية أو إشراف من قسم تقنية المعلومات.
كشف حملة البرمجيات الخبيثة الجديدة
اكتشف باحثو Huntress هذه الحملة أثناء عملية بحث استعادية روتينية عن التهديدات. وتمكنوا من تتبع أكثر من 60 جلسة ScreenConnect مشبوهة عبر قاعدة عملائهم. ما بدأ كنشاط غير عادي لأداة إدارة عن بعد، تحول إلى عملية منسقة متعددة المراحل مع حمولات متدرجة مصممة لتعطيل أدوات أمن نقاط النهاية بالكامل.
يشير السلوك ما بعد الوصول إلى أن الهدف النهائي للحملة هو إما نشر برامج الفدية أو العمل كوسيط للوصول المبدئي.
بعد اكتساب الدخول عبر ScreenConnect، يقوم المهاجم بتثبيت برنامج تشفير متعدد المراحل يسمى FatMalloc، بالإضافة إلى أدوات نسخ احتياطي مثل FleetDeck. يتم تجميع طبقتين إلى ثلاث طبقات من خوادم الترحيل لكل مضيف لضمان استمرارية الهجوم حتى في حالة الإصلاح الجزئي.
تعمل الحمولة النهائية، HwAudKiller، على تعطيل برامج مثل Windows Defender و Kaspersky و SentinelOne من وضع نواة النظام، وذلك باستخدام برنامج تعريف صوتي غير موثق سابقًا من هواوي. بعد تعطيل الدفاعات، يقوم المهاجمون باستخراج بيانات اعتماد LSASS وتشغيل NetExec عبر الشبكة لجمع الحسابات على نطاق واسع، وهو نمط مشابه لسلوك ما قبل هجوم برامج الفدية.
بالإضافة إلى الواجهات الاحتيالية المتعلقة بالضرائب، كشفت مجلدات مفتوحة للمصدر اكتشفها الفريق عن صفحة تحديث مزيفة لمتصفح جوجل كروم تحتوي على تعليقات برمجية باللغة الروسية، مما يشير إلى مطور ناطق بالروسية. كلا النوعين من الحملات الخبيثة تستمد حمولاتهما من نفس البنية التحتية لمشاركة الملفات (4sync)، مما يؤكد أن هذه ليست حملة معزولة بل عملية منظمة تعمل على جبهات متعددة للهندسة الاجتماعية في وقت واحد.
آلية إلغاء حماية EDR (BYOVD)
بمجرد الدخول إلى الجهاز المستهدف، يقوم المهاجم بتشغيل FatMalloc (crypteds.exe) مباشرة من دليل عمل ScreenConnect. يبدأ FatMalloc بتخصيص 2 جيجابايت من الذاكرة وملئها بالأصفار قبل تحريرها، وهي خدعة تدفع محاكي مكافحة الفيروسات إلى انتهاء المهلة دون الوصول إلى الحمولة الحقيقية، نظرًا لعدم قدرتها على محاكاة عملية ذاكرة بهذا الحجم.
في البيئات الافتراضية (Sandboxes) ذات الذاكرة المحدودة، يفشل تخصيص الذاكرة تمامًا، مما يؤدي إلى خروج البرمجية الخبيثة بصمت دون الكشف عن نفسها.
إذا نجح هذا التحقق، يقوم FatMalloc بتنفيذ حمولته المشفرة بشكل غير مباشر باستخدام واجهة برمجة تطبيقات مؤقت الوسائط في ويندوز (Windows multimedia timer API). بدلاً من إنشاء خيط جديد واضح، يقوم برنامج التشفير بتمرير عنوان الحمولة المشفرة *كبيانات مستخدم* إلى *timeSetEvent*، والذي يقوم باستدعائها من خلال رد اتصال (callback) بعد 100 مللي ثانية.
تتجاهل أدوات الأمان التي تراقب إنشاء الخيوط المباشرة هذا تمامًا، حيث يبدو أن التنفيذ ينشأ من ملف winmm.dll. تقوم الحمولة المشفرة بعد ذلك بفك تشفير نفسها باستخدام طريقة XOR وتقوم بفك ضغط الحمولة النهائية HwAudKiller إلى الذاكرة باستخدام LZNT1.
تقوم HwAudKiller بإنزال برنامج تعريف الصوت من هواوي (HWAuidoOs2Ec.sys) إلى القرص باسم Havoc.sys وتسجيله كخدمة في نواة النظام. نظرًا لأن برنامج التعريف يحمل توقيعًا رقميًا صالحًا من هواوي، فإن ويندوز يقوم بتحميله دون اعتراض. بعد ذلك، تقوم الأداة بالتكرار عبر جميع العمليات قيد التشغيل كل 100 مللي ثانية، وإرسال معرفات العمليات المطابقة إلى برنامج التعريف عبر IOCTL 0x2248DC. يقوم برنامج التعريف باستدعاء ZwTerminateProcess من وضع النواة لإنهاء 23 عملية أمنية مستهدفة، متجاوزًا جميع إجراءات الحماية على مستوى المستخدم.
يجب على المستخدمين تنزيل النماذج الضريبية مباشرة من موقع IRS.gov الرسمي، والتعامل بحذر مع نتائج البحث المدفوعة للمستندات الحكومية. يجب على فرق تقنية المعلومات السماح باستخدام أدوات الإدارة عن بعد المعتمدة، ووضع علامة على أي نسخة تجريبية من ScreenConnect – خاصة تلك التي تستخدم أنماط ترحيل “instance-*” – على أنها مشبوهة. يجب أن تنبه معرفات أحداث Sysmon 6 و 7045 إلى إنشاء برامج تشغيل النواة من مجلدات TEMP. أي ملف تنفيذي غير موقع يتم تشغيله من مسار عمل ScreenConnect يستحق تحقيقًا فوريًا.