هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

مواقع مزيفة تنشر AsyncRAT عبر ScreenConnect

ملخص للمقال
  • مواقع مزيفة تنشر AsyncRAT عبر ScreenConnect من خلال صفحات تنزيل مقلدة لبرامج شهيرة، تُدفع إلى نتائج البحث بأساليب SEO خادعة لاستدراج الضحايا.
  • الحملة تستهدف ويندوز عبر عشرات النطاقات متعددة اللغات، بينها العربية والإنجليزية والفرنسية والألمانية، ما يوسع الانتشار بين المستخدمين الأفراد والشركات في أسواق مختلفة.
  • المهاجمون يستخدمون أسماء برامج معروفة مثل OBS Studio وDNS Jumper وDS4Windows وBandicam كطعم، لأن المستخدم غالباً ينقر أول نتيجة تبدو رسمية وآمنة.
  • التفاصيل التقنية لهجوم AsyncRAT عبر ScreenConnect تشمل ملفات تثبيت مضللة تضم مكونات شرعية موقعة رقمياً مع DLL ضارة لتفعيل DLL side-loading وتشغيل الخدمة خفية.
  • تأثير مواقع مزيفة تنشر AsyncRAT عبر ScreenConnect يتجاوز التحكم عن بُعد إلى سرقة البيانات ومراقبة النشاط، ما يهدد كلمات المرور والملفات وبيئات العمل المنزلية والمؤسسية.
  • مقارنةً بحملات البرمجيات المزيفة السابقة، يبرز هذا الهجوم باعتماده المكثف على SEO متعدد اللغات وScreenConnect، مع توقعات بزيادة الاستهداف ما لم يتحسن التحقق من الروابط والتنزيلات.
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
مواقع مزيفة تنشر AsyncRAT عبر ScreenConnect
محتوى المقال
جاري التحميل...
هجوم سيبراني عبر مواقع مزيفة

يرصد خبراء الأمن حملة AsyncRAT واسعة تستخدم مواقع برامج مزيفة لتثبيت ScreenConnect على ويندوز، ما يمنح المهاجمين تحكما خفيا وسرقة للبيانات.

ما هي حملة AsyncRAT الجديدة عبر ScreenConnect؟

تدور الحملة حول إنشاء مواقع مقلدة تبدو كأنها الصفحات الرسمية لتنزيل برامج شهيرة، ثم دفعها إلى نتائج البحث بوسائل تحسين الظهور SEO. وعندما يضغط المستخدم على رابط يبدو موثوقا، يحصل على ملف تثبيت ملغوم بدلا من النسخة الأصلية.

وبحسب ما رصده باحثون أمنيون، فإن النشاط ليس محدودا بدولة أو لغة واحدة، بل يعتمد على عشرات النطاقات المترجمة إلى لغات متعددة، بينها العربية والإنجليزية والفرنسية والألمانية. وهذا يرفع فرص الوصول إلى مستخدمين أفراد وشركات في وقت واحد.

كيف تبدأ العدوى من مواقع البرامج المزيفة؟

برامج معروفة تتحول إلى طعم للمستخدمين

المهاجمون استغلوا أسماء أدوات شائعة مثل OBS Studio وDNS Jumper وDS4Windows وBandicam لإقناع الضحية بأن التنزيل آمن. هذه الطريقة فعالة لأن المستخدم يبحث غالبا عن اسم البرنامج مباشرة ثم ينقر أول نتيجة تظهر له.

  • إنشاء مواقع شبيهة بالصفحات الرسمية للبرامج
  • رفع ترتيبها في نتائج البحث بطرق خادعة
  • تقديم ملفات تثبيت مضللة بدل النسخ الأصلية
  • استهداف مستخدمي ويندوز داخل المنازل والشركات

الملف الخبيث لا يأتي بصيغة واضحة دائما، بل قد يتضمن مكونات شرعية موقعة رقميا إلى جانب مكتبة DLL ضارة. هذا الأسلوب يسمح بتحميل البرمجية الخبيثة عبر DLL side-loading، ثم تشغيل خدمة ScreenConnect من دون إثارة الشكوك بسرعة.

لماذا يستخدم المهاجمون ScreenConnect في هجوم AsyncRAT؟

الهدف من ScreenConnect هنا ليس الدعم الفني، بل فتح قناة وصول عن بُعد تبقي الجهاز تحت سيطرة المهاجم. وبعد تشغيل الخدمة، تبدأ سلسلة أوامر إضافية لتجهيز النظام قبل تنزيل الحمولة النهائية.

كما ذكر تيكبامين، تتضمن الخطوات اللاحقة تشغيل سكربت PowerShell لتعديل إعدادات الحماية داخل Microsoft Defender، وتقليل تنبيهات UAC، ثم إنشاء ملفات VBScript وPowerShell أخرى لاستكمال الهجوم بشكل متخف.

  • إضافة استثناءات داخل Microsoft Defender
  • تقليل ظهور تنبيهات التحكم بحساب المستخدم UAC
  • إنشاء ملفات سكربت إضافية لتوسيع الهجوم
  • تشغيل الحمولة النهائية بطريقة تخفيها داخل الذاكرة
تفاصيل آلية الهجوم

ماذا يفعل AsyncRAT بعد إصابة جهاز ويندوز؟

سرقة بيانات ومراقبة مستمرة

في المرحلة التالية، يجري تنفيذ سكربت يوقف عمليات PowerShell النشطة ثم يشغل ملفا آخر في نافذة مخفية. هذا الملف يقرأ بيانات مخزنة داخل نص محلي، يستخرج منها وحدة AsyncRAT، ثم يشغلها داخل النظام بطريقة process hollowing لتفادي الرصد.

بعدها يتصل البرنامج الخبيث بخادم تحكم بعيد، ما يسمح للمهاجمين بإدارة الجهاز المصاب، وسرقة المعلومات الحساسة، ومراقبة نشاط المستخدم، وحتى تسجيل محتوى الشاشة بصورة سرية.

  • التحكم الكامل بالجهاز المصاب عن بُعد
  • سرقة كلمات المرور والملفات الحساسة
  • مراقبة الشاشة ونشاط المستخدم
  • ضمان الاستمرارية عبر مهام مجدولة كل دقيقتين

كيف تحمي نفسك من مواقع AsyncRAT المزيفة؟

الخطر الأكبر في هذه الحملة أن العدوى تبدأ من نتيجة بحث عادية، لذلك يجب التأكد من عنوان الموقع قبل تنزيل أي أداة، والاعتماد على الصفحات الرسمية فقط. كما يُنصح بتحديث Windows Defender وعدم تعطيل تنبيهات النظام أو تشغيل ملفات غير معروفة بصلاحيات مرتفعة.

وفقاً لتقرير تيكبامين، فإن أفضل وسيلة للحد من AsyncRAT هي التحقق من النطاق، وفحص الأرشيفات التنفيذية، ومراجعة أي طلبات غريبة لتثبيت مكونات إضافية مثل ScreenConnect، لأن تجاهل هذه العلامات قد يمنح المهاجمين موطئ قدم دائم داخل الجهاز.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة


مقالات مقترحة

محتوى المقال
جاري التحميل...