سرايا - كشفت تقارير أمنية حديثة عن حملة إلكترونية متطورة تستهدف مستخدمي نظام ويندوز عبر ملفات صور مزيفة تحمل امتداد JPEG، لكنها في الحقيقة تحتوي على شيفرات خبيثة تسمح للمهاجمين بالسيطرة الكاملة على الأجهزة المصابة.
وأطلق الباحثون على هذه العملية اسم Operation SilentCanvas .
تخفي برمجية خبيثة
وبحسب التقارير، يبدأ الهجوم بإرسال ملف يحمل اسم sysupdate.jpeg عبر رسائل تصيد إلكتروني، أو روابط مشاركة ملفات مزيفة، أو حتى تحديثات وهمية للبرامج.
ورغم أن الملف يبدو كصورة عادية، إلا أنه لا يحتوي على بيانات صور حقيقية، بل يتضمن سكربت PowerShell خبيث، يعمل على إنشاء بيئة مخفية داخل الجهاز المصاب، ثم يقوم بتنزيل مكونات إضافية من خوادم يتحكم بها المهاجمون.
استغلال أداة موثوقة
وأشار الباحثون إلى أن المهاجمين استخدموا نسخة معدلة من برنامج ScreenConnect، وهو أداة شرعية تُستخدم للوصول والتحكم عن بعد في أجهزة الشركات.
وتعمل النسخة المعدلة كباب خلفي يسمح للمخترقين بالدخول المستمر إلى الجهاز دون إثارة الشبهات، خاصة أن البرنامج يُستخدم بالفعل في العديد من بيئات العمل المؤسسية.
كما يعتمد الهجوم على تقنيات متقدمة لتجاوز أنظمة الحماية، من بينها تشغيل الملفات مباشرة في الذاكرة دون حفظها على القرص الصلب، إضافة إلى استخدام أدوات ويندوز الموثوقة لتجاوز نافذة التحكم بحساب المستخدم دون تنبيه الضحية.
قدرات تجسس كاملة
بعد نجاح الاختراق، يتمكن المهاجمون من تنفيذ مجموعة واسعة من عمليات التجسس والسيطرة، تشمل مراقبة الشاشة بشكل مباشر، وتسجيل الفيديو، والتقاط الصوت عبر الميكروفون، وسرقة كلمات المرور، ومراقبة لوحة المفاتيح، ونقل الملفات بسرية عبر قنوات مشفرة.
كما تستطيع البرمجية إنشاء بيئة مخفية لا يلاحظها المستخدم، ما يسمح للمهاجمين بتشغيل أدواتهم بحرية دون اكتشافهم.
وحذر الخبراء من أن البرمجية قادرة أيضًا على إنشاء حسابات إدارية مخفية داخل النظام لضمان استمرار الوصول حتى بعد إعادة تشغيل الجهاز.
تحذيرات أمنية
ودعا الباحثون فرق الأمن السيبراني إلى مراقبة الأنشطة المشبوهة المرتبطة بأوامر PowerShell، وبرامج الوصول عن بعد، مع تشديد الرقابة على الأدوات التي يمكن استغلالها داخل ويندوز.
كما أوصوا المؤسسات بإعادة تعيين كلمات المرور للحسابات الحساسة فور الاشتباه بأي اختراق، إلى جانب حظر النطاقات والخوادم المرتبطة بالحملة الإلكترونية.
وأطلق الباحثون على هذه العملية اسم Operation SilentCanvas .
تخفي برمجية خبيثة
وبحسب التقارير، يبدأ الهجوم بإرسال ملف يحمل اسم sysupdate.jpeg عبر رسائل تصيد إلكتروني، أو روابط مشاركة ملفات مزيفة، أو حتى تحديثات وهمية للبرامج.
ورغم أن الملف يبدو كصورة عادية، إلا أنه لا يحتوي على بيانات صور حقيقية، بل يتضمن سكربت PowerShell خبيث، يعمل على إنشاء بيئة مخفية داخل الجهاز المصاب، ثم يقوم بتنزيل مكونات إضافية من خوادم يتحكم بها المهاجمون.
استغلال أداة موثوقة
وأشار الباحثون إلى أن المهاجمين استخدموا نسخة معدلة من برنامج ScreenConnect، وهو أداة شرعية تُستخدم للوصول والتحكم عن بعد في أجهزة الشركات.
وتعمل النسخة المعدلة كباب خلفي يسمح للمخترقين بالدخول المستمر إلى الجهاز دون إثارة الشبهات، خاصة أن البرنامج يُستخدم بالفعل في العديد من بيئات العمل المؤسسية.
كما يعتمد الهجوم على تقنيات متقدمة لتجاوز أنظمة الحماية، من بينها تشغيل الملفات مباشرة في الذاكرة دون حفظها على القرص الصلب، إضافة إلى استخدام أدوات ويندوز الموثوقة لتجاوز نافذة التحكم بحساب المستخدم دون تنبيه الضحية.
قدرات تجسس كاملة
بعد نجاح الاختراق، يتمكن المهاجمون من تنفيذ مجموعة واسعة من عمليات التجسس والسيطرة، تشمل مراقبة الشاشة بشكل مباشر، وتسجيل الفيديو، والتقاط الصوت عبر الميكروفون، وسرقة كلمات المرور، ومراقبة لوحة المفاتيح، ونقل الملفات بسرية عبر قنوات مشفرة.
كما تستطيع البرمجية إنشاء بيئة مخفية لا يلاحظها المستخدم، ما يسمح للمهاجمين بتشغيل أدواتهم بحرية دون اكتشافهم.
وحذر الخبراء من أن البرمجية قادرة أيضًا على إنشاء حسابات إدارية مخفية داخل النظام لضمان استمرار الوصول حتى بعد إعادة تشغيل الجهاز.
تحذيرات أمنية
ودعا الباحثون فرق الأمن السيبراني إلى مراقبة الأنشطة المشبوهة المرتبطة بأوامر PowerShell، وبرامج الوصول عن بعد، مع تشديد الرقابة على الأدوات التي يمكن استغلالها داخل ويندوز.
كما أوصوا المؤسسات بإعادة تعيين كلمات المرور للحسابات الحساسة فور الاشتباه بأي اختراق، إلى جانب حظر النطاقات والخوادم المرتبطة بالحملة الإلكترونية.
شارك المقال:
الرجاء الانتظار ...
التعليقات