تشير تقارير أمنية حديثة إلى أن المهاجمين يستخدمون رسائل بريد إلكتروني مموهة على شكل دعوات لحفلات نهاية العام، فواتير متأخرة، إشعارات ضريبية، طلبات اجتماعات عبر Zoom، أو إشعارات توقيع مستندات. الهدف من هذه الرسائل هو دفع الضحايا إلى تنزيل أدوات الإدارة والمراقبة عن بُعد (RMM) مثل LogMeIn Resolve وNaverisk وScreenConnect، ضمن هجمات متعددة المراحل.
استغلال ScreenConnect وأدوات إضافية
في بعض الحالات، يتم استخدام ScreenConnect لتثبيت أدوات وصول إضافية، بما في ذلك برامج أخرى للتحكم عن بُعد، إلى جانب أدوات مثل HideMouse وWebBrowserPassView. ورغم أن الاستراتيجية وراء تثبيت أدوات وصول مكررة ليست واضحة تماماً، يُعتقد أن المهاجمين يعتمدون على تراخيص تجريبية، ما يضطرهم إلى تبديل الأدوات بشكل متكرر لتجنب انتهاء صلاحية التراخيص.
من الحسابات الشخصية إلى البنية المؤسسية
تحليل أجرته شركة CyberProof كشف عن حادثة انتقل فيها المهاجمون من استهداف حساب شخصي لموظف على PayPal إلى تأسيس موطئ قدم داخل الشركة عبر استراتيجية متعددة الطبقات باستخدام أدوات RMM مثل LogMeIn Rescue وAnyDesk. المهاجمون تواصلوا هاتفياً مع الضحية متظاهرين بأنهم موظفو دعم فني، وأقنعوه بتثبيت البرامج، بينما صُممت رسائل البريد الإلكتروني لتوليد شعور بالإلحاح عبر التنكر في صورة تنبيهات من PayPal.
دلالات أمنية على المؤسسات
هذه الهجمات تعكس تطوراً في أساليب التصيّد، حيث لم يعد الهدف مجرد سرقة بيانات شخصية، بل التسلل إلى البنية المؤسسية عبر أدوات شرعية تُستخدم عادة في الدعم الفني. هذا يفرض على المؤسسات تعزيز الوعي الأمني لدى الموظفين، وتطبيق سياسات صارمة للتحقق من مصادر الرسائل والاتصالات قبل تثبيت أي برنامج أو منح صلاحيات وصول.
