كشف خبراء الأمن السيبراني عن حملة تسميم محركات البحث (SEO poisoning) متطورة تستهدف مستخدمي ويندوز منذ أواخر عام 2025، حيث يتم خداعهم لتنزيل برامج ضارة متخفية في شكل تحديثات لتطبيقات شائعة. استمرت الحملة دون اكتشاف لمدة خمسة أشهر تقريباً قبل أن يتم الكشف عن تفاصيلها في مارس 2026.
تعتمد الحملة على التلاعب بنتائج البحث لمحركات البحث الرائدة، لتقديم صفحات مزيفة لتنزيل البرامج تظهر في مقدمة النتائج عند بحث المستخدمين عن برامج شهيرة مثل VLC Media Player، OBS Studio، و KMS Tools. تعمل هذه الصفحات المزيفة على إيهام المستخدمين بصلاحيتها من خلال استخدام علامات Schema.org وتأكيد تقييمات المستخدمين المجمعة، بالإضافة إلى استخدام لغات متعددة لجذب شريحة أوسع.
حملة تسميم محركات البحث تستهدف مستخدمي ويندوز
تمت ملاحظة الحملة في البداية من خلال تزايد التنبيهات المتعلقة بأداة التحكم عن بعد ScreenConnect في بيئات العملاء. أدت التحقيقات المشتركة التي بدأت في مارس 2026 إلى اكتشاف أن ما بدا في البداية كحوادث منفصلة كان في الواقع عملية منسقة تعمل منذ أشهر.
تشمل البنية التحتية الداعمة للحملة ثلاثة خوادم وسيطة (relay hosts) لـ ScreenConnect، بالإضافة إلى واجهتين لتوصيل الحمولة الخبيثة. وقد تم اكتشاف أكثر من 100 ملف ضار مرتبط بهذه البنية التحتية على منصة VirusTotal.
آلية الإصابة متعددة المراحل
تتضمن الحمولة النهائية التي تسلمها هذه الحملة برنامج AsyncRAT، وهو حصان طروادة للوصول عن بعد مفتوح المصدر. يتجاوز هذا الإصدار الوظائف القياسية لـ RAT، حيث يتضمن أداة لتسجيل ضغطات المفاتيح، ومراقبة حافظة النسخ، وقدرة على اعتراض العملات المشفرة لـ 16 عملة مختلفة، ونظام إضافات ديناميكي يسمح للمهاجم بإضافة قدرات جديدة في الذاكرة أثناء التشغيل.
من جهة أخرى، يشتمل هذا الإصدار على آلية تحديد جغرافي لتجنب اعتراض العملات المشفرة للمستخدمين في الشرق الأوسط وشمال إفريقيا وآسيا الوسطى. وقد تطورت البنية التحتية لتوصيل البرنامج الضار بشكل مستمر، حيث تحولت من عناوين URL ثابتة في المراحل المبكرة إلى نظام رمزي يعتمد على توليد روابط فريدة لكل تنزيل، مما يجعل الحظر المستند إلى عناوين URL غير فعال.
في المقابل، تعمل الواجهة الخلفية الرئيسية لتوصيل الحمولة، fileget[.]loseyourip[.]com، كواجهة لموقع مشاركة ملفات، ولكنها في الواقع تستخدم فقط لتوزيع المثبتات الخبيثة.
تبدأ عملية الإصابة فور قيام الضحية بتشغيل الملف الذي تم تنزيله. يحتوي الأرشيف المضغوط على مثبت VLC الأصلي بالإضافة إلى ملف ضار هو libvlc.dll. نظراً لأن libvlc.dll هو مكون أساسي لبرنامج VLC، يقوم نظام ويندوز بتحميله تلقائياً عند تشغيل البرنامج، مما يسمح بتنفيذ كود المهاجم ضمن عملية تطبيق موثوق به من خلال تقنية تُعرف باسم DLL sideloading.
بمجرد تفعيله، يقوم ملف DLL باستخراج مثبت MSI مخفي وتشغيله بصمت. يقوم هذا المثبت بنشر ScreenConnect كخدمة ويندوز، متخفياً تحت اسم “Microsoft Update Service”، ثم يتصل فوراً بخادم الوسيط الخاص بالمهاجم.
بعد ذلك، يستخدم المهاجم ScreenConnect لإسقاط VBScript يقوم بكتابة مُحمل PowerShell وملفات الحمولة المشفرة في المسار C:UsersPublic. يقوم المُحمل بفك تشفير هذه الملفات باستخدام عمليات XOR والانعكاس الثنائي، ثم يقوم بتجميع مُحقن .NET بالكامل في الذاكرة، والذي يقوم بعملية “تفريغ العمليات” (process hollowing) لحقن AsyncRAT في RegAsm.exe، وهو ملف تشغيل نظام ويندوز شرعي، مما يترك الملف غير مرئي لأدوات الأمان.
لضمان استمرارية الإصابة بعد إعادة التشغيل أو انقطاع جلسات العمل، قامت الحملة بإنشاء ثلاث آليات للثبات: خدمة ويندوز مهيأة للبدء تلقائياً، حزمة مصادقة ويندوز يتم تحميلها في LSASS قبل تسجيل دخول أي مستخدم، ومهمة مجدولة باسم “MasterPackager.Updater” لإعادة تشغيل VBScript كل دقيقتين.
للحد من المخاطر، يُنصح المستخدمون دائماً بتنزيل البرامج مباشرة من المواقع الرسمية لمزودي الخدمة، واعتبار أي طلبات لرفع صلاحيات غير متوقعة أثناء التثبيت بمثابة تحذير. يجب على فرق الأمن مراقبة عمليات نشر ScreenConnect غير المصرح بها، وأحداث تفريغ العمليات في RegAsm.exe، وكذلك الكشف عن الـ mutex “confing_me_s” كمؤشرات لاستضافة التهديدات. كما يُنصح بشدة بحظر نطاقات الصفحات المزيفة المعروفة، وخوادم الوسائط، وعناوين خوادم التحكم والسيطرة لـ AsyncRAT.