اختر منطقتك 
حالة الطقس 
كشف تقرير أمني حديث عن تطور مقلق في الهجمات الإلكترونية التي تستخدم أساليب الهندسة الاجتماعية، وتحديدًا هجمات من نوع ClickFix. تستهدف هذه الهجمات المستخدمين بخداعهم لحملهم على تنفيذ أوامر ضارة على أجهزتهم، مستغلة واجهة وهمية تحاكي شاشة تحديث نظام التشغيل Windows. وقد لوحظ أن النسخ الجديدة من هذه الهجمات تخفي برامج ضارة داخل صور رقمية، مما يزيد من صعوبة اكتشافها.
وبحسب تقرير نشره موقع BleepingComputer، فإن هذه الهجمات أصبحت أكثر تطوراً وذكاءً في الخداع، حيث تعرض للمستخدمين صفحة تبدو كعملية تحديث أمني ضرورية من مايكروسوفت. إلا أن هذه الصفحة ما هي إلا ستار لإخفاء برمجيات خبيثة تنتظر تنفيذاً لأوامرها. وقد بدأ رصد هذه الهجمات في أكتوبر الماضي، وتزايدت وتيرتها منذ ذلك الحين.
كيف يعمل هجوم ClickFix الخبيث؟
يعتمد هجوم ClickFix على خداع المستخدمين من خلال مطالبة الموقع المزيف بإدخال أوامر معينة وتنفيذها بشكل يدوي. يعتقد الضحية أنه يكمل عملية تحقق أو تحديث نظام ضرورية، بينما هو في الواقع يقوم بتشغيل تعليمات برمجية ضارة. هذه البساطة النسبية في التنفيذ والفعالية العالية جعلت من هذه الطريقة شائعة بين المهاجمين الإلكترونيين.
يستخدم المهاجمون سيناريوهين رئيسيين لتنفيذ هذه الهجمات؛ الأول هو التظاهر بوجود تحديث أمني عاجل من مايكروسوفت، والثاني هو استخدام خدعة “التحقق البشري” التي غالباً ما تُرى في هجمات مشابهة. في كلتا الحالتين، يتم توجيه الضحية لتنفيذ سلسلة من الضغطات على لوحة المفاتيح، مما يؤدي إلى تفعيل أوامر تم نسخها مسبقاً إلى الحافظة بواسطة كود جافاسكريبت يعمل في الخلفية.
البرمجيات الخبيثة المستخدمة في الهجوم
أفادت شركة Huntress المتخصصة في الأمن السيبراني بأن الإصدارات الحديثة من هجمات ClickFix تنشر برامج ضارة من نوع LummaC2 و Rhadamanthys. وتُصنف هذه البرامج ضمن فئة برامج سرقة المعلومات (Infostealers)، وهي مصممة لجمع البيانات الحساسة من أجهزة الضحايا، مثل كلمات المرور وتفاصيل بطاقات الائتمان.
يستخدم المهاجمون تقنية “الإخفاء في الصورة” (Steganography) لإخفاء الشيفرة الخبيثة داخل صور PNG. لا يقتصر الأمر على إلحاق الشيفرة بالصورة، بل يتم ترميزها داخل بيانات البكسلات باستخدام قنوات لونية محددة، مما يجعل اكتشافها صعباً للغاية. هذه التقنية، بالإضافة إلى استخدام أدوات مثل mshta.exe لتشغيل كود JavaScript ضار، تزيد من تعقيد عملية الاستهداف.
تتبع عملية التحميل مراحل متعددة، بما في ذلك تنفيذ أكواد PowerShell وتحميل تجميع (.NET Assembly) يعرف باسم “Stego Loader”. يقوم هذا الأخير بإعادة بناء الحمولة الخبيثة المشفرة والمضمنة داخل صورة PNG. ويحتوي ملف Stego Loader على موارد مشفرة باستخدام خوارزمية AES، وهي في الواقع صورة مموهة تتضمن شيفرة تنفيذية (Shellcode) تتم معالجتها بواسطة كود C# مخصص.
يستخدم المهاجمون أيضاً تقنية تمويه متقدمة تُعرف باسم “ctrampoline”، حيث تستدعي وظيفة نقطة الدخول في الملف سلسلة من 10,000 وظيفة فارغة، مما يعقد تحليل الشيفرة ويُعيق عمل برامج الحماية. بعد فك التشفير، تستخدم الأداة “Donut” لتعبئة الشيفرة التنفيذية وتنفيذها داخل الذاكرة.
تم رصد نسخة Rhadamanthys التي تستخدم حيلة تحديث Windows لأول مرة في أكتوبر الماضي. وسرعان ما استجابت السلطات الأمنية بإطلاق حملة واسعة النطاق تحت اسم “Operation Endgame” في 13 نوفمبر، نجحت في تعطيل أجزاء كبيرة من البنية التحتية المستخدمة في نشر الهجوم. ومع ذلك، لا تزال بعض نطاقات الإنترنت المرتبطة بالصفحة المزيفة نشطة.
التحوطات الأمنية والتوصيات
ينصح الباحثون الأمنيون المستخدمين بتعطيل نافذة التشغيل “Run” في نظام Windows، أو على الأقل مراقبة أي سلوك غير طبيعي، مثل تشغيل mshta.exe أو PowerShell من خلال عملية explorer.exe. كما يوصون المحللين الأمنيين بمراجعة سجل “RunMRU” في سجل النظام (Registry) للتحقق من إدخال أي أوامر يدوية غير متوقعة.
هذه القضية تؤكد على الأهمية المتزايدة للوعي الأمني وضرورة تحديث برامج الحماية بانتظام. تعتبر عمليات الهندسة الاجتماعية، مثل هجمات ClickFix، من أخطر التهديدات التي تواجه المستخدمين، لأنها تستغل الثقة البشرية بدلاً من استغلال الثغرات التقنية.
في المستقبل القريب، من المتوقع أن يستمر المهاجمون في تطوير أساليبهم لزيادة فعاليتهم في الخداع. يجب على المستخدمين والمؤسسات أن يكونوا على أهبة الاستعداد لمواجهة هذه التهديدات المتطورة، من خلال اعتماد إجراءات حماية قوية وتنمية ثقافة الوعي الأمني. كما يجب مراقبة تطورات حملة “Operation Endgame” وما إذا كانت ستؤدي إلى تعطيل كامل للبنية التحتية للهجوم.
