بحسب تقرير صادر عن شركة الأمن السيبراني CYFIRMA، فإن حملة SilentCanvas تستخدم ملفًا باسم sysupdate.jpeg، يبدو من اسمه وامتداده كصورة أو تحديث نظام عادي، لكنه يحتوي فعليًا على حمولة PowerShell خبيثة تُستخدم لتنزيل مكونات إضافية ونشر نسخة معدلة من أداة الإدارة عن بُعد ConnectWise ScreenConnect بهدف الحصول على وصول خفي ومستمر إلى الجهاز المصاب.
هذا لا يعني أن كل صورة JPEG على الإنترنت أصبحت قنبلة رقمية، ولا يعني أن فتح الصور العادية صار خطرًا بحد ذاته، لكنه يكشف عن تطور مقلق في أساليب الهندسة الاجتماعية، حيث لا يكتفي المهاجمون بإخفاء البرمجيات الخبيثة داخل ملفات مضغوطة أو مستندات مزيفة، بل أيضا في الصور.
ما هي حملة Operation SilentCanvas؟
نتحدث عن حملة اختراق متعددة المراحل رصدتها CYFIRMA، وتقوم فكرتها على تمويه برمجية خبيثة داخل ملف يحمل امتداد JPEG. الملف لا يعمل كصورة تقليدية، بل كمرحلة أولى في سلسلة اختراق تستهدف، على الأرجح، بيئات الشركات والمؤسسات التي تعتمد على أدوات الإدارة عن بُعد.
حتى الآن، لا توجد أرقام معلنة عن عدد الضحايا أو الجهات التي تم اختراقها بنجاح، كما لم تنسب CYFIRMA الحملة إلى مجموعة قرصنة محددة أو دولة معينة، لكنها وصفت أسلوب الهجوم بأنه ناضج واحترافي، وقادر على دعم بقاء طويل داخل الشبكات، وسرقة بيانات الاعتماد، والتحرك الجانبي داخل بيئات الشركات، والتجسس المؤسسي، وربما التمهيد لهجمات فدية لاحقة.
إقرأ أيضا: تفاصيل فضيحة اختراق MyLovely.AI وحجم الضرر العالمي
كيف تتحول صورة مزيفة إلى أداة اختراق؟
بحسب التحليلات المنشورة، تبدأ العملية عندما يتلقى الضحية ملفًا باسم sysupdate.jpeg عبر وسيلة غير مؤكدة بشكل نهائي، لكن الباحثين يرجحون أن يكون ذلك عبر رسائل تصيد إلكتروني، أو روابط مشاركة ملفات خادعة، أو صفحات مزيفة لتحديثات البرامج، عند تشغيل الملف، لا يتصرف كصورة عادية، بل ينفذ حمولة PowerShell خبيثة.
الحمولة تقوم بعدة خطوات خطيرة. فهي تنشئ بيئة تمهيدية داخل الجهاز، ثم تتصل ببنية تحتية يتحكم بها المهاجمون لتنزيل مكونات إضافية، وتستخدم أدوات موجودة أصلًا داخل ويندوز مثل csc.exe وComputerDefaults.exe لتنفيذ مراحل من الهجوم بطريقة تقلل فرص الانتباه إليها.
الأخطر أن الهجوم لا يعتمد فقط على برمجية خبيثة واضحة يمكن لبرنامج الحماية التقاطها بسهولة، بل يستغل أدوات شرعية داخل النظام.
هذا النوع من الأساليب يعرف في الأمن السيبراني باسم “Living off the land”، أي استخدام أدوات النظام نفسه لتنفيذ نشاط خبيث، ما يجعل عملية الكشف أكثر صعوبة على فرق الحماية.
إقرأ أيضا: لينكدإن يتجسس عليك إلا إذا كنت تستخدم هذه المتصفحات
لماذا يستخدم المهاجمون ConnectWise ScreenConnect؟
أداة ConnectWise ScreenConnect هي منصة شرعية للإدارة والدعم عن بُعد، تستخدمها شركات تقنية ومؤسسات للوصول إلى الأجهزة وإصلاحها عن بُعد، المشكلة ليست في الأداة الأصلية، بل في إساءة استخدامها أو نشر نسخة معدلة منها داخل جهاز الضحية.
في حملة SilentCanvas، يتم نشر نسخة “Trojanized” من ScreenConnect، أي نسخة معدلة أو مستغلة بطريقة تمنح المهاجمين قدرة خفية على الوصول عن بُعد.
وبما أن أدوات الإدارة عن بُعد شائعة داخل الشركات، فإن وجودها قد لا يثير الشك فورًا إذا لم تكن هناك سياسات صارمة لمراقبتها.
هذا الأسلوب ليس جديدًا بالكامل، فقد رصدت شركات أمنية في السنوات الماضية إساءة استخدام ScreenConnect في هجمات مختلفة، بينها حملات مرتبطة ببرمجيات فدية واستغلال ثغرات معروفة في خوادم ScreenConnect.
ففي فبراير 2024، نشرت Sophos تقريرًا عن إساءة مهاجمين استخدام ScreenConnect لتسليم برمجيات خبيثة، كما وثقت Huntress استغلال ثغرات خطيرة في ScreenConnect خلال الفترة نفسها.
ماذا يفعل الهجوم بعد إصابة الجهاز؟
وفق تقرير CYFIRMA والتحليلات اللاحقة، لا يكتفي الهجوم بالحصول على موطئ قدم داخل الجهاز، بل يسعى إلى بناء حضور طويل الأمد.
يتم إنشاء خدمة وهمية تحمل اسمًا قريبًا من خدمات ويندوز أو مايكروسوفت مثل OneDriveServers، وذلك بهدف التمويه وإقناع المستخدم أو المسؤول التقني بأن الأمر طبيعي.
بعد ذلك، يمكن للبرمجية الخبيثة تنفيذ مجموعة واسعة من الأنشطة، من بينها سرقة بيانات الاعتماد، جمع معلومات عن النظام، مراقبة الحافظة، التقاط صور للشاشة، وربما تشغيل الميكروفون، كما تستخدم اتصالات مشفرة مع خوادم التحكم والسيطرة، وهي البنية التي يعتمد عليها المهاجم لإرسال الأوامر واستقبال البيانات من الجهاز المصاب.
بمعنى آخر، نحن لا نتحدث عن فيروس مزعج يبطئ الجهاز فقط، بل عن عملية اختراق يمكن أن تتحول إلى تجسس كامل على المستخدم أو المؤسسة، خصوصًا إذا نجح المهاجم في الوصول إلى حسابات داخلية أو أجهزة أخرى على الشبكة، ويمكن استخدام هذا لسرقة الأموال من محافظ العملات الرقمية المشفرة وسرقة حسابات منصات التواصل.
