كشف تقرير أمني حديث عن تطور نوعي في الهجمات الإلكترونية من فئة ClickFix، وهي هجمات تعتمد على أساليب الهندسة الاجتماعية لدفع المستخدمين إلى تنفيذ أوامر ضارة على أجهزتهم، عبر واجهات مزيفة تحاكي شاشة تحديث نظام Windows بشكل كامل.
وبحسب تقرير نشره موقع BleepingComputer، رُصدت نسخ جديدة من هذه الهجمات تعرض صفحة وهمية بحجم كامل الشاشة، تبدو كمهمة تحديث أمني عاجل من مايكروسوفت، بينما تُخفي خلفها برمجيات خبيثة مدمجة داخل صور رقمية.
آلية خداع تعتمد على مشاركة المستخدم في تنفيذ الهجوم
تعتمد هذه الهجمات على إقناع المستخدم بنسخ وتنفيذ أوامر يدوياً، اعتقاداً منه أنه يُكمل عملية تحقق أو تحديث للنظام. ويؤكد باحثون أن هذه الطريقة اكتسبت رواجاً كبيراً بين المهاجمين، نظراً لفعاليتها وسهولة تنفيذها، ما تسبب في تطويرها بوتيرة متسارعة لتصبح أكثر ذكاءً وتعقيداً.
ومنذ بداية أكتوبر الماضي، لاحظ متخصصون في الأمن السيبراني اعتماد منفذي ClickFix على سيناريوهين أساسيين لخداع الضحايا: الأول هو واجهة تحديث مزيفة لنظام ويندوز، والثاني يعتمد على خدعة التحقق البشري المنتشرة في هجمات مشابهة.
وفي كلا السيناريوهين، يُطلب من المستخدم تنفيذ ضغطات متتابعة على لوحة المفاتيح، تعمل على تفعيل أوامر مخزنة تلقائياً في الحافظة عبر كود JavaScript يعمل في خلفية الموقع.
برمجيات خبيثة متطورة من نوع Infostealers
شركة Huntress المتخصصة في الأمن السيبراني أكدت أن الإصدارات الجديدة من هجمات ClickFix تنشر برمجيات خبيثة من نوع LummaC2 وRhadamanthys، وهي من فئة برامج سرقة المعلومات التي تستهدف بيانات حساسة مثل كلمات المرور وبيانات المتصفح والمحافظ الرقمية.
وأوضحت الشركة أن المهاجمين يستخدمون تقنيتي التحقق الوهمي وتحديث ويندوز المزيف، مع اعتماد أسلوب "الإخفاء في الصورة" Steganography لإخفاء البرمجيات داخل ملفات PNG.
إخفاء الشيفرة داخل بيكسلات الصورة
يشير الباحثون إلى أن المتسللين قاموا بترميز الشيفرة الخبيثة داخل بيانات بيكسلات الصور باستخدام قنوات ألوان محددة، ما يسمح بإعادة بناء الحمولة الخبيثة داخل ذاكرة الجهاز بعد فكها.
وتبدأ عملية التنفيذ باستخدام أداة ويندوز المدمجة mshta.exe لتشغيل كود JavaScript ضار، ثم تتوالى المراحل عبر PowerShell لتشغيل تجميع .NET يعرف باسم Stego Loader، المسؤول عن استخراج وإعادة بناء الحمولة المشفّرة.
ويحتوي Stego Loader على موارد مشفرة بخوارزمية AES، وهي في الواقع صورة مموهة تتضمن شيفرة تنفيذية تتم معالجتها عبر كود مكتوب بلغة C#.
تقنيات تمويه متقدمة لتعطيل التحليل الأمني
فريق Huntress أكد أن المهاجمين اعتمدوا تقنية تمويه معقدة تُعرف باسم ctrampoline، حيث يبدأ الملف باستدعاء آلاف الوظائف الفارغة، بما يصل إلى 10,000 وظيفة، بهدف إرباك برامج الحماية وصعوبة تحليل الكود.
ويجري استخراج الشيفرة التنفيذية من الصورة المشفرة وتعبئتها باستخدام أداة Donut، التي تتيح تشغيل أنواع متعددة من الملفات داخل الذاكرة، بما في ذلك VBScript وJScript وEXE وDLL وملفات NET.
وبعد فك الشيفرة، تمكن الباحثون من تحديد المكونات الخبيثة، والتي تبين أنها LummaC2 وRhadamanthys، وهما من أكثر برامج سرقة البيانات انتشاراً في الوقت الحالي.
عملية أمنية تعطل جزءاً من البنية المستخدمة في الهجوم
رصد الباحثون نسخة Rhadamanthys التي استخدمت شاشة تحديث ويندوز المزيفة لأول مرة في أكتوبر الماضي، قبل أن تُطلق السلطات حملة أمنية موسعة تحت اسم Operation Endgame في 13 نوفمبر، تمكنت خلالها من تعطيل أجزاء من البنية التحتية المستخدمة في نشر الهجوم.
ورغم استمرار نشاط بعض النطاقات المرتبطة بالواجهات المزيفة، فإنها لم تعد تُحمّل البرمجيات الخبيثة نتيجة العملية الأمنية.
توصيات أمنية للمستخدمين والمؤسسات
دعا الخبراء المستخدمين إلى اتخاذ إجراءات وقائية، أبرزها:
تعطيل نافذة التشغيل Run في نظام ويندوز أو مراقبتها
الانتباه لأي تشغيل غير اعتيادي لعمليات mshta.exe أو PowerShell
مراقبة عمليات تُطلق عبر explorer.exe
مراجعة سجل RunMRU في النظام للتحقق من الأوامر اليدوية التي جرى إدخالها
كما شدد الباحثون على ضرورة تعزيز الوعي الرقمي لدى المستخدمين والمؤسسات، خصوصاً مع ازدياد اعتماد المهاجمين على الواجهات المألوفة مثل تحديثات النظام أو التحقق البشري لاستغلال عنصر الثقة.
تابعوا آخر أخبار العقارية على Google News
تابعوا آخر أخبار العقارية على نبض
