كشف باحثو Zscaler ThreatLabz عن سلسلة هجومية متطورة رُصدت في فبراير 2026، تستغل الثقة العمياء التي يضعها المستخدمون في علامة Adobe التجارية لإقناعهم بتنزيل ملف يبدو بريئاً، فإذا به يُفضي إلى تثبيت أداة التحكم عن بُعد ScreenConnect على أجهزتهم دون أدنى مؤشر مرئي. والأخطر في هذه الحملة ليس الأداة النهائية المنصوبة، بل طريقة توصيلها التي تتحاشى بذكاء كل طبقات الحماية التقليدية.
هندسة الخداع: كيف يبدأ الهجوم
تبدأ سلسلة الهجوم حين يصل الضحية إلى موقع يُقلّد واجهة Adobe ويعرض تنزيل Adobe Acrobat Reader مزيفاً. بمجرد الوصول إلى الصفحة، يُنزَّل تلقائياً ملف VBScript خبيث ومُعمّى بشدة باسم Acrobat_Reader_V112_6971.vbs، يعمل بوصفه محمّلاً أولياً.
ما يجعل هذه الحملة بالغة الخطورة هو مستوى الثقة التي يمنحها المستخدمون لعلامات البرمجيات المعروفة كـAdobe. حين يرى شخص ما زر تنزيل مألوفاً لـAdobe Acrobat Reader، يضغط عليه معظم الناس دون تردد، وهو بالضبط ما استغله المهاجمون استغلالاً تاماً.
وبدلاً من توصيل برنامج ضار صريح، تعتمد الحملة على توصيل ScreenConnect، وهو برنامج شرعي للوصول عن بُعد تستخدمه فرق تقنية المعلومات على نطاق واسع. ScreenConnect ليس برنامجاً خبيثاً بطبيعته، لكنه حين يُثبَّت دون علم المستخدم يمنح المهاجمين سيطرة كاملة عن بُعد على الجهاز المخترق، مما يتيح لهم سرقة الملفات أو نشر حمولات إضافية أو الحفاظ على وصول طويل الأمد. ونظراً لأن ScreenConnect يتصرف كبرنامج أصيل، فإن كثيراً من حلول مكافحة الفيروسات لا تُبلّغ عنه.
طبقات التعمية والتهرب من الكشف
يعتمد محمّل VBScript تعمية بالغة ومتعمدة لإخفاء سلوكه ومؤشراته، إذ يُنشئ اسم WScript.Shell ديناميكياً باستخدام دوال Replace() متداخلة مطبّقة على سلسلة نص طويلة وبلا معنى ظاهر، مما يمنع ظهور الاسم بصيغته المقروءة بحيث لا يكون مرئياً في النص للوهلة الأولى.
يُشغّل محمّل VBScript بعد ذلك أمر PowerShell يتجاوز سياسات الأمان المحلية باستخدام علامة تجاوز التنفيذ. تقوم هذه المرحلة بتنزيل حمولة ثانوية من Google Drive، وقراءتها مباشرةً في ذاكرة النظام، وتجميع كود C# ديناميكياً باستخدام مكتبات .NET المدمجة.
تتلاعب الهجمة بـProcess Environment Block لانتحال هوية عملية Windows المُشغَّلة، مما يجعل البرمجيات الخبيثة تنسجم في النشاط الطبيعي للنظام وتتفادى تنبيهات أدوات الكشف والاستجابة على نقاط النهاية.
تجاوز UAC واستغلال امتيازات SYSTEM
للحصول على امتيازات مسؤول دون استدعاء تحذير UAC، استغل المهاجمون كائنات COM ذاتية الرفع في Windows، إذ بنوا مُعرِّف الرفع مُخزَّناً بترتيب معكوس لتعميته، وطلبوا صامتين وصولاً مرفوعاً باستخدام دالة CoGetObject. وحين تنجح العملية، يُنفَّذ الإجراء الخبيث بامتيازات عالية متجاوزاً مطالبات الأمان المعتادة.
في المرحلة الأخيرة، يُنزَّل مثبّت ScreenConnect ويُنفَّذ عبر msiexec، ليمنح المهاجمين في نهاية المطاف وصولاً عن بُعد وسيطرة كاملة على الجهاز المخترق.
توجّه متصاعد نحو توظيف الأدوات المشروعة
لا تُمثّل هذه الحملة حادثة معزولة، بل تندرج ضمن نمط متصاعد يُعيد رسم ملامح التهديدات السيبرانية الحديثة. أشار تقرير ConnectWise للتهديدات لعام 2026 إلى أن المهاجمين يتحوّلون عن الاعتماد على ثغرات جديدة ويُكثّرون إساءة استخدام الهويات الموثوقة وأدوات النظام الشرعية والبنية التحتية للوصول عن بُعد.
وقد رصدت تقارير أمنية متعددة هذا النمط بوضوح. فأداة ScreenConnect ذاتها استُخدمت في حملتَي STAC4713 وSTAC3725 المرتبطتَين ببرنامج الفدية PayoutsKing التي وثّقتها Sophos، وفي سيناريوهات أخرى مرتبطة بحملات تجسس ومجموعات برامج فدية متعددة. وهذا النهج يُشكّل تحدياً جوهرياً لفرق الأمن، إذ إن وجود ScreenConnect على الجهاز ليس دليلاً كافياً وحده للحكم بالاختراق، مما يستلزم مراقبة سياق التثبيت وسلسلة العمليات الأبوية وأنماط الاتصال الشبكي.
