إعلانات البحث الضريبية تنشر برمجية ScreenConnect الخبيثة باستخدام تعريف من Huawei لتعطيل أنظمة الحماية EDR
تم رصد حملة إعلانية خبيثة واسعة النطاق منذ يناير 2026 تستهدف الأفراد في الولايات المتحدة الذين يبحثون عن مستندات ضريبية عبر الإنترنت. تقوم الحملة بتقديم برامج تثبيت مزيفة لبرنامج ConnectWise ScreenConnect، والتي تقوم بدورها بتنزيل أداة تسمى HwAudKiller تعمل على تعطيل برامج الحماية باستخدام تقنية تعرف باسم Bring Your Own Vulnerable Driver (BYOVD).
وقالت الباحثة الأمنية آنا فام (Anna Pham) من شركة Huntress في تقرير نُشر الأسبوع الماضي:
“تستغل الحملة إعلانات Google لعرض برامج تثبيت مزيفة لـ ScreenConnect (المعروف أيضًا باسم ConnectWise Control)، مما يؤدي في النهاية إلى تنزيل أداة قتل لأنظمة EDR تعتمد على تقنية BYOVD، حيث يتم تحميل تعريف (Driver) على مستوى النواة لتعطيل أدوات الحماية قبل تنفيذ الهجوم الكامل.”
وأوضحت شركة الأمن السيبراني أنها حددت أكثر من 60 جلسة ScreenConnect خبيثة مرتبطة بهذه الحملة. وتتميز سلسلة الهجوم هذه بعدة خصائص لافتة؛ فبعكس الحملات الأخيرة التي كشفت عنها Microsoft والتي تعتمد على رسائل خداع مرتبطة بالضرائب، تستخدم هذه الحملة خدمات إخفاء (Cloaking) تجارية لتجنب اكتشافها من قبل أدوات الفحص الأمنية، كما تستغل تعريف صوت غير موثق سابقًا من شركة Huawei لتعطيل حلول الحماية.
اليكم نص تحذير ميكروسوفت من هذا الهجوم تحذير من مايكروسوفت: حملات تصيّد ضريبي تستهدف آلاف المستخدمين وتنشر برمجيات تحكم عن بُعد
أهداف الهجوم
لا تزال الأهداف الدقيقة للحملة غير واضحة حتى الآن. لكن في إحدى الحالات، قام المهاجمون باستخدام الوصول إلى الجهاز المصاب من أجل:
- نشر أداة تعطيل أنظمة EDR
- استخراج بيانات الاعتماد من ذاكرة عملية Local Security Authority Subsystem Service (LSASS)
- استخدام أدوات مثل NetExec لاستطلاع الشبكة والتنقل الجانبي داخل الأنظمة
ووفقًا لشركة Huntress، فإن هذه الأساليب تتوافق مع سلوكيات ما قبل هجمات الفدية (Pre-Ransomware) أو ما يعرف بوسطاء الوصول الأولي (Initial Access Brokers)، ما يشير إلى أن المهاجمين قد يخططون لنشر برامج فدية لاحقًا أو بيع الوصول إلى الأنظمة المخترقة لمجرمين آخرين.
كيف يبدأ الهجوم؟
تبدأ العملية عندما يقوم المستخدم بالبحث في محركات البحث مثل Google عن كلمات مثل:
- W2 tax form
- W-9 Tax Forms 2026
ثم يتم خداعه للنقر على نتائج بحث إعلانية مدفوعة تقوده إلى مواقع مزيفة مثل:
bringetax[.]com/humu/
ومن هناك يتم تنزيل برنامج تثبيت ScreenConnect الخبيث.
استخدام تقنيات الإخفاء المتقدمة
تحتوي صفحة الهبوط (Landing Page) على نظام توزيع حركة مرور (TDS) مبني بلغة PHP ويعمل بواسطة خدمة Adspect، وهي خدمة إخفاء تجارية.
الهدف من ذلك هو:
- عرض صفحة عادية وآمنة لأدوات الفحص الأمنية وأنظمة مراجعة الإعلانات
- بينما يرى الضحايا الحقيقيون البرمجية الخبيثة الفعلية
ويتم ذلك عبر:
- إنشاء بصمة رقمية (Fingerprint) لزائر الموقع
- إرسالها إلى خادم Adspect
- تحديد ما إذا كان الزائر ضحية حقيقية أم نظام فحص أمني
بالإضافة إلى ذلك، تحتوي الصفحة index.php على طبقة إخفاء ثانية تعمل بخدمة JustCloakIt (JCI) على مستوى الخادم.
وشرحت الباحثة آنا فام:
“تم دمج خدمتي الإخفاء داخل نفس ملف index.php؛ حيث يعمل فلتر JustCloakIt على مستوى الخادم أولًا، ثم تضيف Adspect طبقة ثانية تعتمد على بصمة JavaScript على جانب العميل.”
نشر أدوات التحكم عن بعد
تقود هذه الصفحات إلى تنزيل برامج ScreenConnect التي تُستخدم لنشر عدة نسخ تجريبية من البرنامج على الجهاز المصاب.
كما تم رصد قيام المهاجمين بتثبيت أدوات إدارة ومراقبة عن بعد إضافية مثل:
- FleetDeck Agent
وذلك لضمان استمرارية الوصول عن بعد حتى لو تم اكتشاف إحدى الأدوات.
أداة HwAudKiller لتعطيل برامج الحماية
تستخدم جلسة ScreenConnect لنشر برنامج تشفير متعدد المراحل (Crypter) يعمل كوسيط لتشغيل أداة تعطيل أنظمة الحماية HwAudKiller.
تعتمد الأداة على تقنية BYOVD لتعطيل العمليات المرتبطة ببرامج الحماية مثل:
- Microsoft Defender
- Kaspersky
- SentinelOne
ويتم ذلك باستخدام تعريف ضعيف يسمى:
HWAuidoOs2Ec.sys
وهو تعريف نواة شرعي وموقع رقمياً من شركة Huawei مخصص لأجهزة الصوت في الحواسيب المحمولة.
وأوضحت Huntress:
“يقوم التعريف بإنهاء العملية المستهدفة من وضع النواة (Kernel Mode)، متجاوزًا جميع الحمايات الموجودة في وضع المستخدم (User Mode) التي تعتمد عليها برامج الأمن. وبما أن التعريف موقع رسميًا من Huawei، فإن نظام Windows يقوم بتحميله دون اعتراض رغم تفعيل ميزة فرض توقيع التعريفات (DSE).”
أسلوب إضافي لتجنب الاكتشاف
يحاول برنامج Crypter أيضًا التهرب من برامج الحماية عبر:
- تخصيص 2 جيجابايت من الذاكرة
- ملؤها بالقيم الصفرية
- تحريرها لاحقًا
وهذا يؤدي إلى تعطيل محركات الفحص وبرامج المحاكاة بسبب استهلاك الموارد الكبير.
من يقف خلف الحملة؟
حتى الآن لم يتم تحديد الجهة المسؤولة عن الحملة. لكن اكتشاف دليل مفتوح (Open Directory) في البنية التحتية للمهاجمين كشف عن:
- صفحة تحديث مزيفة لمتصفح Chrome
- تحتوي على كود JavaScript مع تعليقات باللغة الروسية
ما يشير إلى احتمال وجود مطور ناطق بالروسية يستخدم أدوات هندسة اجتماعية لتوزيع البرمجيات الخبيثة.
خلاصة التقرير
قالت الباحثة آنا فام إن هذه الحملة توضح كيف أصبحت الأدوات المتاحة تجاريًا قادرة على تمكين هجمات متقدمة:
“لم يحتج المهاجم إلى استغلالات مخصصة أو قدرات دولية متقدمة؛ بل جمع بين خدمات إخفاء تجارية مثل Adspect وJustCloakIt، ونسخ مجانية من ScreenConnect، وبرنامج Crypter جاهز، وتعريف Huawei موقعًا يحتوي على ثغرة، ليبني سلسلة هجوم كاملة تبدأ من بحث Google وتنتهي بتعطيل أنظمة EDR على مستوى النواة.”
كما لوحظ نمط متكرر على الأجهزة المخترقة، حيث يقوم المهاجم بسرعة بتثبيت عدة أدوات وصول عن بعد خلال فترة قصيرة.
“بعد إنشاء أول اتصال خبيث عبر ScreenConnect، يتم نشر نسخ إضافية من البرنامج على نفس الجهاز خلال ساعات، أحيانًا نسختين أو ثلاث، بالإضافة إلى أدوات احتياطية مثل FleetDeck لضمان استمرار الوصول.”
المصدر : موقع هـ.ـاكر نيوز.
