يرصد خبراء الأمن حملة AsyncRAT واسعة تستخدم مواقع برامج مزيفة لتثبيت ScreenConnect على ويندوز، ما يمنح المهاجمين تحكما خفيا وسرقة للبيانات.
ما هي حملة AsyncRAT الجديدة عبر ScreenConnect؟
تدور الحملة حول إنشاء مواقع مقلدة تبدو كأنها الصفحات الرسمية لتنزيل برامج شهيرة، ثم دفعها إلى نتائج البحث بوسائل تحسين الظهور SEO. وعندما يضغط المستخدم على رابط يبدو موثوقا، يحصل على ملف تثبيت ملغوم بدلا من النسخة الأصلية.
وبحسب ما رصده باحثون أمنيون، فإن النشاط ليس محدودا بدولة أو لغة واحدة، بل يعتمد على عشرات النطاقات المترجمة إلى لغات متعددة، بينها العربية والإنجليزية والفرنسية والألمانية. وهذا يرفع فرص الوصول إلى مستخدمين أفراد وشركات في وقت واحد.
كيف تبدأ العدوى من مواقع البرامج المزيفة؟
برامج معروفة تتحول إلى طعم للمستخدمين
المهاجمون استغلوا أسماء أدوات شائعة مثل OBS Studio وDNS Jumper وDS4Windows وBandicam لإقناع الضحية بأن التنزيل آمن. هذه الطريقة فعالة لأن المستخدم يبحث غالبا عن اسم البرنامج مباشرة ثم ينقر أول نتيجة تظهر له.
- إنشاء مواقع شبيهة بالصفحات الرسمية للبرامج
- رفع ترتيبها في نتائج البحث بطرق خادعة
- تقديم ملفات تثبيت مضللة بدل النسخ الأصلية
- استهداف مستخدمي ويندوز داخل المنازل والشركات
الملف الخبيث لا يأتي بصيغة واضحة دائما، بل قد يتضمن مكونات شرعية موقعة رقميا إلى جانب مكتبة DLL ضارة. هذا الأسلوب يسمح بتحميل البرمجية الخبيثة عبر DLL side-loading، ثم تشغيل خدمة ScreenConnect من دون إثارة الشكوك بسرعة.
لماذا يستخدم المهاجمون ScreenConnect في هجوم AsyncRAT؟
الهدف من ScreenConnect هنا ليس الدعم الفني، بل فتح قناة وصول عن بُعد تبقي الجهاز تحت سيطرة المهاجم. وبعد تشغيل الخدمة، تبدأ سلسلة أوامر إضافية لتجهيز النظام قبل تنزيل الحمولة النهائية.
كما ذكر تيكبامين، تتضمن الخطوات اللاحقة تشغيل سكربت PowerShell لتعديل إعدادات الحماية داخل Microsoft Defender، وتقليل تنبيهات UAC، ثم إنشاء ملفات VBScript وPowerShell أخرى لاستكمال الهجوم بشكل متخف.
- إضافة استثناءات داخل Microsoft Defender
- تقليل ظهور تنبيهات التحكم بحساب المستخدم UAC
- إنشاء ملفات سكربت إضافية لتوسيع الهجوم
- تشغيل الحمولة النهائية بطريقة تخفيها داخل الذاكرة
ماذا يفعل AsyncRAT بعد إصابة جهاز ويندوز؟
سرقة بيانات ومراقبة مستمرة
في المرحلة التالية، يجري تنفيذ سكربت يوقف عمليات PowerShell النشطة ثم يشغل ملفا آخر في نافذة مخفية. هذا الملف يقرأ بيانات مخزنة داخل نص محلي، يستخرج منها وحدة AsyncRAT، ثم يشغلها داخل النظام بطريقة process hollowing لتفادي الرصد.
بعدها يتصل البرنامج الخبيث بخادم تحكم بعيد، ما يسمح للمهاجمين بإدارة الجهاز المصاب، وسرقة المعلومات الحساسة، ومراقبة نشاط المستخدم، وحتى تسجيل محتوى الشاشة بصورة سرية.
- التحكم الكامل بالجهاز المصاب عن بُعد
- سرقة كلمات المرور والملفات الحساسة
- مراقبة الشاشة ونشاط المستخدم
- ضمان الاستمرارية عبر مهام مجدولة كل دقيقتين
كيف تحمي نفسك من مواقع AsyncRAT المزيفة؟
الخطر الأكبر في هذه الحملة أن العدوى تبدأ من نتيجة بحث عادية، لذلك يجب التأكد من عنوان الموقع قبل تنزيل أي أداة، والاعتماد على الصفحات الرسمية فقط. كما يُنصح بتحديث Windows Defender وعدم تعطيل تنبيهات النظام أو تشغيل ملفات غير معروفة بصلاحيات مرتفعة.
وفقاً لتقرير تيكبامين، فإن أفضل وسيلة للحد من AsyncRAT هي التحقق من النطاق، وفحص الأرشيفات التنفيذية، ومراجعة أي طلبات غريبة لتثبيت مكونات إضافية مثل ScreenConnect، لأن تجاهل هذه العلامات قد يمنح المهاجمين موطئ قدم دائم داخل الجهاز.