Netcrook Logo
👤 CRYSTALPROXY
🗓️ 16 Apr 2026  

فخ «Adobe»: مُحمِّل بلا ملفات يهرّب أداة وصول عن بُعد في عملية خفية

العنوان الفرعي: مجرمو الإنترنت يستغلون الثقة في Adobe لنشر ScreenConnect عبر سلسلة هجوم متطورة تعمل في الذاكرة فقط.

بدا الأمر كأنه تحديث برمجي روتيني - مجرد تنزيل آخر لبرنامج Adobe Acrobat Reader. لكن بالنسبة للضحايا غير المنتبهين، كانت نقرة واحدة على موقع مزيف مُتقن كفيلة بإطلاق استيلاء صامت. خلف الكواليس، نسّق المهاجمون باليهًا تقنيًا، متجاوزين أدوات الحماية ومخلّفين بالكاد أي أثر. وبحلول الوقت الذي انقشع فيه الغبار، كان القراصنة قد انتزعوا تحكمًا كاملاً عن بُعد - وذلك من دون إسقاط ملف خبيث واحد على القرص.

داخل الهجوم: خفة يد تقنية

اكتشفه لأول مرة فريق Zscaler ThreatLabz في فبراير 2026، وقد سلّحت هذه الحملة الثقة التي يضعها المستخدمون في العلامات المألوفة. وصل الضحايا إلى صفحة تصيّد تحاكي بوابة تنزيل Adobe بشكل مثالي. وبدلاً من البرنامج الحقيقي، قدّمت الصفحة ملف VBScript مفخخًا - شيفرته ملتوية ومتنكرة لتفادي التدقيق البشري والآلي على حد سواء.

وبمجرد تشغيله، أطلق السكربت أمر PowerShell مع تعطيل قيود الأمان. قام سكربت PowerShell هذا بجلب حمولة ثانوية من Google Drive وتجميعها مباشرة في ذاكرة الحاسوب - من دون كتابة أي ملف مريب يمكن لأدوات مكافحة الفيروسات التقاطه. وكانت الحمولة نفسها تجميعة .NET، مضمنة كمصفوفة بايتات ونُفذت باستخدام الانعكاس (reflection)، وهي تقنية تتيح تشغيل الشيفرة ديناميكيًا من دون ترك آثار واضحة.

ولإخفاء آثاره أكثر، غيّرت البرمجية الخبيثة معلومات عمليتها لتنتحل برامج Windows موثوقة مثل winhlp32.exe. كما استغلت ميزات Windows غير الشائعة - مثل كائنات نموذج كائنات المكوّنات (COM) ذات الرفع التلقائي - لمنح نفسها صلاحيات المسؤول، وكل ذلك من دون إطلاق تحذيرات «التحكم بحساب المستخدم» المعتادة. واعتمدت خدعة الرفع على ترميز الطلب بشكل معكوس، لإحباط قواعد الكشف الأساسية.

وفي الفصل الأخير، قام المُحمِّل بتنزيل وتثبيت نسخة مُعاد تسميتها من ScreenConnect بصمت، وهي أداة دعم عن بُعد شرعية لتقنية المعلومات. وبواسطتها، حصل المهاجمون على وصول كامل ودائم إلى الجهاز المخترق، جاهزين لتهريب البيانات أو نشر تهديدات إضافية. ثم قامت سلسلة الهجوم بتفكيك نفسها بهدوء، ممحيةً الأدلة ومُسقِطةً امتيازاتها المرتفعة.

هذه العملية طلقة تحذير في مقدمة سفينة كل من يثق بتنزيلات «مألوفة» من مصادر غير رسمية. إن مزيج المهاجمين من سحر السكربتات، والتنفيذ داخل الذاكرة فقط، وإساءة استخدام الأدوات الشرعية يثبت أن الدفاعات التقليدية المعتمدة على التواقيع لم تعد كافية. وبدلاً من ذلك، يجب على المدافعين مراقبة السلوك غير المعتاد - حتى عندما لا يبدو أي شيء في غير مكانه على القرص.

الخلاصة: لا تثق بشيء، وتحقق من كل شيء

هذه الحملة الأخيرة مثالٌ نموذجي على كيفية تطور مجرمي الإنترنت. فمن خلال الاندماج مع نشاط النظام الطبيعي والاستفادة من البرمجيات الشرعية، يتفادون الكشف التقليدي ويحوّلون ثقة المستخدمين ضدهم. الدرس واضح: تحقّق دائمًا من التنزيلات، ودقّق في مصادر البرامج، ولا تستهِن أبدًا بعبقرية المهاجمين المعاصرين.

WIKICROOK

  • مُحمِّل بلا ملفات: المُحمِّل بلا ملفات هو برمجية خبيثة تعمل في الذاكرة فقط، ولا تترك ملفات على القرص، ما يجعل اكتشافها صعبًا على أدوات مكافحة الفيروسات التقليدية.
  • الإخفاء (Obfuscation): الإخفاء هو ممارسة تمويه الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمان.
  • الانعكاس (Reflection): يتيح الانعكاس للشيفرة، بما في ذلك البرمجيات الخبيثة، فحص نفسها وتعديلها أثناء التشغيل، مما يمكّن أساليب مراوغة تعقّد الكشف والتحليل في الأمن السيبراني.
  • رفع الامتيازات: يحدث رفع الامتيازات عندما يحصل المهاجم على وصول أعلى مستوى، منتقلاً من حساب مستخدم عادي إلى صلاحيات المسؤول على نظام أو شبكة.
  • ScreenConnect: ScreenConnect أداة سطح مكتب عن بُعد لدعم تقنية المعلومات، تتيح وصولاً آمنًا عن بُعد لكنها تُستغل أحيانًا من قبل القراصنة للدخول غير المصرح به.
Adobe Fileless Loader Cybersecurity
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news