كشف تقرير أمني حديث عن تطور جديد في الهجمات الإلكترونية من نوع ClickFix، وهي هجمات تعتمد على الهندسة الاجتماعية لخداع المستخدمين ودفعهم إلى تنفيذ أوامر ضارة على أجهزتهم، من خلال استغلال واجهة وهمية تُحاكي شاشة تحديث نظام Windows.
وأفاد تقرير نشره موقع BleepingComputer، برصد نسخ جديدة من هذه الهجمات يجري فيها عرض صفحة وهمية بحجم كامل الشاشة، تُظهر للمستخدم ما يبدو كأنه عملية تحديث أمنية حرجة من مايكروسوفت، بينما تُخفي في الواقع برمجيات خبيثة داخل صور رقمية.
كيف يعمل هجوم ClickFix الخبيث؟
تخدع آلية الهجوم المستخدمين لتنفيذ تعليمات المخترقين، من خلال مطالبة الموقع المزيف بنسخ أوامر وتنفيذها يدويًا، فيظن المستخدم أنه يُكمل عملية تحقق أو تحديث للنظام.
هذه الطريقة اكتسبت شعبية واسعة بين المهاجمين الإلكترونيين على مختلف المستويات، نظرًا لفعاليتها العالية وسهولة تنفيذها، ما جعلها تتطور بشكل مستمر لتصبح أكثر خداعاً وتعقيدًا.
منذ أول أكتوبر الماضي، لاحظ باحثون في مجال الأمن السيبراني اعتماد منفذي هجمات “ClickFix” على سيناريوهين رئيسيين لخداع المستخدمين؛ الأول يتمثل في التظاهر بوجود تحديث أمني مهم من مايكروسوفت، بينما الثاني يعتمد على خدعة “التحقق البشري”، وهي شائعة الاستخدام في هجمات مماثلة.
وفي الحالتين، يطلب من الضحية تنفيذ سلسلة من الضغطات على لوحة المفاتيح، والتي تُفعّل بدورها أوامر سبق نسخها تلقائيًا إلى الحافظة عبر كود برمجي بلغة JavaScript يعمل في خلفية الموقع.
وأفادت شركة Huntress المتخصصة في خدمات الأمن السيبراني، بأن الإصدارات الجديدة من هجمات “ClickFix” تنشر برمجيات خبيثة من نوع “LummaC2” و”Rhadamanthys”، وهي من فئة برامج سرقة المعلومات (Infostealers).
وقالت الشركة إن المتسللين يستعينون في أحد السيناريوهين بواجهة مزيفة للتحقق البشري، بينما يستخدمون في السيناريو الآخر شاشة تحديث “ويندوز” الزائفة، وفي الحالتين يجري استخدام تقنية “الإخفاء في الصورة” (Steganography) لإخفاء البرمجية الخبيثة داخل صورة من نوع PNG.
وأوضح باحثون أن المتسللين لم يكتفوا بإلحاق الشيفرة الخبيثة بملف الصورة، بل عملوا على ترميزها داخل بيانات بيكسلات الصورة ذاتها باستخدام قنوات لونية محددة، ما يتيح لهم إعادة بناء الحمولة الخبيثة في ذاكرة الجهاز بعد فك تشفيرها.
وتبدأ عملية تحميل البرمجيات الضارة باستخدام الأداة المدمجة في ويندوز “mshta.exe”، والتي تُستخدم لتشغيل كود JavaScript ضار، وتستمر السلسلة عبر مراحل متعددة تشمل تنفيذ أكواد PowerShell وتحميل تجميع (.NET Assembly) يُعرف باسم “Stego Loader”، وهو المسؤول عن إعادة بناء الحمولة الخبيثة المشفّرة والمضمنة داخل صورة PNG.
ويحتوي ملف “Stego Loader” على موارد مشفرة باستخدام خوارزمية AES، وهي في الواقع صورة مموهة تتضمن شيفرة تنفيذية (Shellcode)، تتم معالجتها بواسطة كود مخصص بلغة C#.
وأشار فريق Huntress إلى أن المهاجمين استخدموا تقنية متقدمة للتمويه تُعرف باسم “ctrampoline”، حيث تبدأ وظيفة نقطة الدخول في الملف باستدعاء سلسلة من 10,000 وظيفة فارغة، ما يصعّب من تحليل الكود، ويُربك برامج الحماية.
وتُستخرج الشيفرة التنفيذية من الصورة المشفّرة، وتُعبّأ باستخدام أداة “Donut”، وهي أداة تتيح تنفيذ أنواع متعددة من الملفات مثل VBScript وJScript وEXE وDLL وحتى تجميعات NET داخل الذاكرة.
وبعد فك العبوة، تمكن الباحثون من تحديد نوع البرمجيات الخبيثة، والتي تبين أنها “LummaC2” و”Rhadamanthys”، وهما من أشهر برامج سرقة البيانات المنتشرة حالياً.
ورصد الباحثون نسخة “Rhadamanthys” التي استخدمت حيلة تحديث ويندوز للمرة الأولى في أكتوبر الماضي، قبل أن تطلق السلطات الأمنية حملة واسعة تحت اسم “Operation Endgame” في 13 نوفمبر، نجحت من خلالها في تعطيل أجزاء من البنية التحتية التي كانت تستخدم في نشر الهجوم.
ورغم أن نطاقات الإنترنت المرتبطة بشاشة تحديث ويندوز الزائفة لا تزال نشطة، إلا أن حمولة البرمجيات الخبيثة لم تعد تُحمّل منها نتيجة العملية الأمنية.
وفي سياق التوصيات الأمنية، دعا الباحثون المستخدمين إلى تعطيل نافذة التشغيل “Run” في ويندوز، أو على الأقل مراقبة أي سلوك غير اعتيادي، مثل تشغيل mshta.exe أو PowerShell من خلال عملية explorer.exe، كما أوصوا المحللين الأمنيين الذين يحققون في هجمات من هذا النوع بمراجعة سجل “RunMRU” في سجل النظام (Registry)، والذي يُظهر ما إذا جرى إدخال أوامر يدوية في نافذة التشغيل من قبل المستخدم.
تأتي هذه التطورات لتؤكد مدى تعقيد المشهد السيبراني الحالي، إذ بات المهاجمون يعتمدون على أساليب هندسة اجتماعية متقنة تتلاعب بعنصر الثقة لدى المستخدم، مستغلين واجهات مألوفة مثل تحديثات النظام أو عمليات التحقق البشري، وهو ما يستدعي من المستخدمين والمؤسسات على حد سواء اعتماد إجراءات حماية متقدمة، وزيادة الوعي بالأخطار الرقمية المتجددة.
