جدول المحتويات
تظهر سلالة جديدة من برمجيات ClickFix الخبيثة في الأفق، وتستهدف أسهل الضحايا على الإطلاق: أي شخص يثق في إشعار تحديث ويندوز. وفقًا للباحثين في مجال الأمن السيبراني في شركة Huntress، تمكن المهاجمون من إنشاء شاشة تحديث مزيفة تغطي الشاشة بالكامل، تبدو مقنعة بما يكفي لخداع المستخدمين ومنحها الوصول الكامل إلى أنظمتهم، وذلك من خلال حيلة بسيطة تعتمد على النسخ واللصق.
كيف تعمل برمجيات ClickFix الخبيثة؟
تظهر هذه الاحتيالات غالبًا على مواقع الويب المشبوهة، وخاصة صفحات البث المباشر للبالغين المليئة بالإعلانات المنبثقة المشبوهة. يكفي نقرة واحدة غير دقيقة على إعلان أو تحقق مزيف من العمر، لتتحول متصفحك فجأة إلى ما يبدو أنه تحديث ويندوز عالق عند 95%. ثم يزعم أنه يجب عليك الضغط على Windows + R ولصق أمر خاص لإكمال التحديث. بالطبع، هذا هو بالضبط ما تريده البرمجيات الخبيثة.
هذا الأمر يقوم بشكل صامت بتشغيل أداة mshta المدمجة في ويندوز، ويسحب حمولة من خادم بعيد. ولجعل اكتشافه أكثر صعوبة، يتضمن الكود العديد من الأوامر غير المفيدة التي تهدف إلى إرباك برامج الأمان. ومن الغريب أن جزءًا من الكود الخبيث مخبأ داخل صورة PNG، حيث تقوم البرمجيات الخبيثة بسحب الشيفرة المخفية مباشرة من البكسلات ثم حقن نفسها في عمليات أخرى قيد التشغيل باستخدام .NET.
المرحلة الثانية من الهجوم
بمجرد أن تتوغل البرمجيات الخبيثة داخل النظام، تبدأ المرحلة الثانية. يتم تثبيت برامج سرقة المعلومات المعروفة مثل Rhadamanthys أو LummaC2 على الجهاز، ومن هناك يصبح الأمر مفتوحًا على مصراعيه لسرقة كلمات المرور، وملفات تعريف الارتباط في المتصفح، وتسجيلات الدخول المصرفية، وبيانات محفظة العملات الرقمية. يتم جمع كل شيء وإرساله إلى المهاجمين.
تشير الأبحاث إلى أن هذه الحملة نشطة منذ أوائل أكتوبر ولا تزال مستمرة، مع وجود العديد من النطاقات المشابهة التي تستضيف شاشة التحديث المزيفة. كما وجد المحللون الجنائيون سلاسل عشوائية وغير مفيدة في الكود، بما في ذلك إشارة غريبة إلى خطاب قديم للأمم المتحدة، يبدو أنها أُدرجت فقط لإضاعة وقت المحللين.
الاعتماد على الهندسة الاجتماعية
الجزء الأسوأ هو أن هذا الهجوم يعتمد بالكامل على الهندسة الاجتماعية. لا توجد تحميلات للملفات، ولا نوافذ منبثقة واضحة للبرمجيات الخبيثة. فقط موقع ويب يخدعك لتشغيل أمره بنفسك.
نصيحة سريعة:
لا تقم أبدًا بنسخ ولصق الأوامر من صفحة ويب عشوائية، بغض النظر عن مدى رسمية مظهرها. التحديثات الحقيقية لنظام ويندوز لا تطلب منك فتح مربع التشغيل — أبدًا.
تذكر دائمًا أن الحذر هو أفضل وسيلة للحماية. تأكد من تحديث برامج الأمان لديك بانتظام، وكن واعيًا للمواقع التي تتصفحها. إذا كنت تشك في أي شيء، فمن الأفضل عدم التفاعل معه.
المصدر: Huntress | الصورة: Unsplash
المصدر: الرابط الأصلي
