في عالم الأمن السيبراني، تتطور أساليب المهاجمين باستمرار. إحدى الطرق الجديدة التي تم اكتشافها هي استخدام ملفات شاشة التوقف في ويندوز كوسيلة لنشر البرمجيات الخبيثة وأدوات الإدارة عن بُعد.
في نهج جديد للاحتيال المستهدف، يستخدم المهاجمون ملفات شاشة التوقف في ويندوز (.scr) لتجاوز خطوط الدفاع واختراق المؤسسات.
نشرت ReliaQuest للأبحاث الأمنية بحثًا اليوم يوضح كيف قام المهاجمون بخداع عدة مستخدمين لتشغيل ملف شاشة توقف ويندوز، مما يثبت أداة الإدارة والمراقبة عن بُعد (RMM) ويمنح المهاجم التحكم عن بُعد التفاعلي في نظام تشغيل الهدف.
استغلال أنواع الملفات غير المعتادة ليس أمرًا غير مألوف؛ فقد استغل المهاجمون من المجموعات المتقدمة (APTs) لفترة طويلة ملفات الاختصار في ويندوز لتنفيذ التعليمات البرمجية الخبيثة، على سبيل المثال. إن هجوم شاشة التوقف هو تحول جديد في هذا النوع من الهجمات. إنه نوع ملف لا يفكر فيه الكثير من الناس في حياتهم اليومية، ولكن كما يشير أندرو آدامز من ReliaQuest في منشور المدونة البحثية، “إنها برامج تنفيذية لا تتلقى دائمًا ضوابط على مستوى التنفيذ.”
“تستمر المخاطر بسبب الفجوة بين الإدراك والواقع. في ويندوز، تعتبر ملفات .scr برامج تنفيذية محمولة (PE) يمكنها تشغيل تعليمات برمجية عشوائية. وهذا يعني أن ملفات .scr، التي قد لا يدرك العديد من المستخدمين أنها قابلة للتنفيذ، يمكن أن يستغلها المهاجمون لتنفيذ تعليمات برمجية خبيثة،” كتب آدامز. “بدون قيود مناسبة في سياسات التحكم في التطبيقات أو وعي المستخدم، تشكل هذه الملفات خطرًا أمنيًا كبيرًا، مما قد يؤدي إلى الوصول غير المصرح به، أو خروقات البيانات، أو إصابات البرمجيات الخبيثة.”
كيف يستغل المهاجمون ملفات شاشة التوقف
تمت ملاحظة الوصول الأولي على أنه طُعم احتيالي يتعلق بالأعمال، مثل طلب عبر البريد الإلكتروني لمشاهدة فاتورة أو ملخص مشروع. يتم ربط الهدف بملف “.scr” مستضاف على منصة تخزين سحابية خارج منظمة المستلم. من المتوقع أن يقوم المستخدم بتنزيل الملف وتنفيذه، مما يزيد من احتمالية تجاوز أدوات الأمان بسبب نوع الملف غير المعتاد.
يقوم الملف بتثبيت أداة RMM شرعية، تُدعى JWrapper، ويمكّن المهاجم من الاتصال بها. يتصل المهاجم بالبنية التحتية الخاصة به ويستخدم أداة RMM للحصول على “وصول تفاعلي مستمر يسمح للمهاجمين بالحفاظ على موطئ قدم داخل البيئة والاستعداد بهدوء لمزيد من الأنشطة الخبيثة.” قد تتكون الأنشطة اللاحقة من سرقة البيانات، أو الحركة الجانبية، أو نشر برامج الفدية ضد منظمة مخترقة.
“تُعد هذه الحملة تذكيرًا بأن الخدمات الموثوقة والأدوات الشرعية يمكن أن تكون أيضًا مسار التسليم. بالنسبة للمهاجمين، فإنها فعّالة، وتقلل من الحواجز التقنية، وتقلل الاعتماد على البنية التحتية المملوكة للمهاجم، مما يجعل الاختراق، والتخفي، والوصول طويل الأمد أسهل،” كتب أندرو. “كما أنها قابلة لإعادة الاستخدام بشكل كبير. قم بتبديل الخدمة السحابية، وتغيير الطُعم، وتدوير أداة الوصول عن بُعد، ولكن تظل سير العمل كما هي، مما يجعل هذه التقنية قابلة للتوسع والتكيف.”
احمِ نفسك من شاشات التوقف الخبيثة
هذه الأنشطة ليست لمرة واحدة. أشار منشور المدونة إلى أنه في أغسطس 2025، تم رصد المهاجمين يستخدمون ملفات شاشة التوقف في ويندوز لنشر حصان طروادة للوصول عن بُعد (RAT) يُدعى “GodRAT” ضد المؤسسات المالية. لقد حدث ذلك من قبل، ويحدث الآن، ومن المؤكد أنه سيحدث مرة أخرى.
لمكافحة ذلك، توصي ReliaQuest بخطة عمل ثلاثية الأبعاد للمؤسسات. أولاً وقبل كل شيء، يجب التعامل مع ملفات .scr كملفات تنفيذية. يمكن أن تمكّن حلول التحكم في التطبيقات (مثل Windows Defender) من التنفيذ من مصادر موثوقة، موقعة، و/أو معتمدة.
ثانيًا، يجب الحفاظ على قائمة بيضاء معتمدة لأدوات RMM وتنبيه عند تثبيت أدوات RMM غير المعتمدة.
ثالثًا، يجب تقليل المخاطر من مواقع استضافة الملفات التابعة لجهات خارجية عن طريق حظر “خدمات استضافة الملفات غير التجارية عند مستوى DNS أو وكيل الويب.”
من الضروري أن تكون المؤسسات على دراية بهذه الأساليب الجديدة وأن تتخذ تدابير وقائية لحماية نفسها من التهديدات المتزايدة.
