رصدت شركة AhnLab موجة جديدة من الهجمات السيبرانية تعتمد على رسائل بريد إلكتروني تحمل طابع الفواتير، حيث يتم خداع المستلمين عبر مرفق PDF يظهر رسالة خطأ مزيفة، ويطلب منهم الضغط على زر لتحميل الملف. بعض الروابط تعيد التوجيه إلى صفحات مموهة على أنها Google Drive، تعرض ملفات فيديو بصيغة MP4، لكنها في الحقيقة تقوم بتنزيل أدوات إدارة عن بُعد (RMM) مثل Syncro وSuperOps وNinjaOne وScreenConnect.
أدوات مشروعة في يد المهاجمين
اللافت أن هذه الأدوات ليست برمجيات خبيثة تقليدية مثل الأبواب الخلفية أو أحصنة طروادة (RATs)، بل هي أدوات مشروعة مصممة لإدارة الأنظمة عن بُعد. ومع ذلك، يستغلها المهاجمون لتحقيق وصول دائم إلى الأجهزة المستهدفة. السبب وراء تفضيل هذه الأدوات هو أنها مصممة أصلاً لتجاوز أنظمة الحماية مثل الجدران النارية وحلول مكافحة البرمجيات الخبيثة، التي تركز عادة على رصد البرمجيات الضارة المعروفة فقط.
دلالات أمنية
هذا النوع من الهجمات يعكس تحولاً في تكتيكات المهاجمين، حيث يتم استغلال أدوات شرعية لتجاوز أنظمة الكشف التقليدية. كما أن استخدام واجهات مألوفة مثل Google Drive يزيد من احتمالية وقوع الضحايا في الفخ، خاصة أن هذه الأساليب تعتمد على الهندسة الاجتماعية أكثر من الاعتماد على استغلال الثغرات التقنية.
