أصدرت شركة (HP Inc.) المدرجة في بورصة نيويورك تحت الرمز (HPQ) أحدث تقاريرها حول مستجدات التهديدات السيبرانية، والذي يرصد اعتماد المهاجمين بشكل متزايد على البرمجيات المشروعة والبرمجيات الخبيثة المتخفية وأساليب استدراج أكثر إقناعًا للوصول إلى أجهزة المستخدمين. كما يشير التقرير إلى تحدٍ متنامٍ يواجه المستخدمين وفرق الأمن السيبراني، في وقت أصبحت فيه الأنشطة الخبيثة أكثر قدرة على التخفّي ضمن أنشطة تبدو اعتيادية ومشروعة.
ويقدّم التقرير تحليلًا لعدد من الهجمات السيبرانية التي رُصدت على أرض الواقع، لمساعدة المؤسسات على فهم أحدث الأساليب التي يستخدمها مجرمو الإنترنت لتجاوز أدوات الحماية واستهداف أجهزة الكمبيوتر. واستنادًا إلى البيانات الواردة من ملايين الأجهزة الطرفية المحمية بحلول HP Wolf Security*، حدّد باحثو التهديدات فيHP Wolf” Security” عددًا من الحملات البارزة، من بينها:
استغلال أدوات الوصول عن بُعد المشروعة كوسيلة للوصول الخلفي: يعمد مجرمو الإنترنت إلى إساءة استخدام تطبيقات مشروعة للوصول عن بُعد، مثل LogMeIn وScreenConnect، للسيطرة على أجهزة الضحايا دون لفت الانتباه. وتبدأ هذه الحملات عادةً برسائل تصيّد إلكتروني مرتبطة بالإجراءات والمراسلات الخاصة بنهاية السنة الضريبية أو روابط لتنزيل تطبيقات مزيفة، بما في ذلك مواقع تعارف وهمية، بهدف إقناع المستخدمين بتثبيت أدوات وصول عن بُعد مشروعة. وبعد تثبيتها، يستخدم المهاجمون هذه الأدوات للوصول المستمر إلى الأجهزة والتخفي وسط الأنشطة التقنية المعتادة، ما يمنحهم سيطرة كاملة على أجهزة المستخدمين.
استهداف المستخدمين الساعين لاستعادة محافظ أصول رقمية مفقودة: يستخدم المهاجمون أدوات مزيفة تدّعي المساعدة في العثور على محافظ أصول رقمية مفقودة، بينما تهدف في الواقع إلى سرقة بيانات الاعتماد ومعلومات المحافظ. وغالبًا ما يتم توزيع هذه الأدوات عبر منصات مشاركة الأكواد البرمجية ومواقع تنزيل الوسائط. كما تشير النصوص البرمجية المليئة بالرموز التعبيرية إلى تزايد استخدام أساليب “البرمجة التوليدية” في تطوير الهجمات، حيث تتمكن هذه البرمجيات من جمع بيانات الاعتماد ومعلومات المحافظ وبيانات النظام، قبل تجميعها داخل ملفات أرشيفية وإخراجها من الجهاز.
حملات ClickFix تُخفي البرمجيات الخبيثة داخل ملفات تبدو وكأنها ملفات صوتية: يعمد المهاجمون إلى تمويه البرمجيات الخبيثة على هيئة ملفات صوتية بهدف تجاوز أدوات الكشف. ويتم توجيه الضحايا عبر طلبات تحقق CAPTCHA واقعية ضمن مواقع إلكترونية مزيفة مصممة باحترافية، ما يؤدي إلى تنفيذ أوامر خبيثة تقوم بتشغيل برمجيات ضارة في الخلفية.
قال باتريك شلابفر، الباحث الرئيسي في شؤون التهديدات لدى مختبر HP للأمن: “ما يميز هذه الحملات هو سهولة استغلال أدوات الوصول عن بُعد المشروعة وتحويلها إلى نقاط دخول للمهاجمين. فمن خلال الجمع بين البرمجيات المشروعة وأساليب الهندسة الاجتماعية المصممة بعناية والمرتبطة بأحداث موسمية مثل نهاية السنة الضريبية، أصبح من الصعب التمييز بين الأنشطة الموثوقة وتلك التي تنطوي على مخاطر”.
ومن خلال عزل التهديدات التي تنجح في تجاوز أدوات الكشف على أجهزة الكمبيوتر، مع السماح في الوقت نفسه بتشغيل البرمجيات الخبيثة بأمان داخل حاويات معزولة، تكتسب “HP Wolf Security” رؤية معمّقة لأحدث الأساليب التي يستخدمها مجرمو الإنترنت. وحتى اليوم، قام عملاء “HP Wolf Security” بالنقر على أكثر من 60 مليار مرفق بريد إلكتروني وصفحة ويب وملف تم تنزيله، دون تسجيل أي حالات اختراق مُبلّغ عنها.
يستعرض التقرير، الذي يغطي بيانات الفترة من يناير إلى مارس 2026، كيف يواصل مجرمو الإنترنت تنويع أساليب هجماتهم لتجاوز أدوات الحماية الأمنية، حيث أظهر أن:
• ما لا يقل عن 11% من تهديدات البريد الإلكتروني التي حدّدتها تقنية “HP Sure Click” تمكّنت من تجاوز واحد أو أكثر من أنظمة فحص البريد الإلكتروني.
• شكّلت الملفات التنفيذية الوسيلة الأكثر استخدامًا لنشر البرمجيات الخبيثة بنسبة 39%، تلتها الملفات الأرشيفية بنسبة 38%، ثم مستندات PDF بنسبة 10%.
• ارتفعت الهجمات المعتمدة على ملفات PDF بنسبة 2%، مع استغلال المهاجمين لأساليب استدراج متنوعة، من بينها المستندات القضائية والمكافآت المالية، لحثّ المستخدمين على النقر دون التحقق.
من جانبه أضاف أليكس هولاند ، الباحث الرئيسي في شؤون التهديدات لدى مختبر HP للأمن: “لا تبدو هذه الهجمات وكأنها محاولات اختراق واضحة، بل تظهر على أنها أنشطة اعتيادية ضمن بيئات العمل. فهي تستفيد من أدوات وبرمجيات مشروعة، ما يجعل رصدها أكثر صعوبة ويحدّ من ظهور المؤشرات المعتادة المرتبطة بالبرمجيات الخبيثة. ولتعزيز أمن بيئات العمل والحد من المخاطر، ينبغي على المؤسسات تقييد الصلاحيات غير الضرورية للمستخدمين، والتحكم في تثبيت البرمجيات، وعزل الأنشطة عالية المخاطر مثل التنزيلات والروابط غير المعروفة. فالاعتماد على أدوات الكشف وحده لم يعد كافيًا عندما تستخدم أدوات مشروعة كوسيلة للوصول إلى الأنظمة”.
للاطلاع على التقرير يُرجى زيارة مدونة أبحاث التهديدات.
