في عالم متزايد التعقيد من التهديدات السيبرانية، يظهر احتيال CrashFix كأحد أكثر الأساليب تطورًا لإصابة الأنظمة بالبرمجيات الخبيثة. في هذا المقال، نستعرض كيف يعمل هذا الاحتيال وما هي المخاطر المرتبطة به.
يستخدم أحد المهاجمين نسخة متطورة من هجوم ClickFix لخداع المستخدمين في تثبيت البرمجيات الخبيثة على أنظمتهم.
على عكس عمليات الاحتيال التقليدية من نوع ClickFix التي تستخدم تنبيهات أمان مزيفة أو CAPTCHAs لجذب المستخدمين لتنفيذ أوامر خبيثة، فإن النسخة الجديدة “CrashFix” تنشر إضافة خبيثة تتسبب أولاً في تعطل متصفح الضحية ثم تقدم حلاً مزيفًا.
النظم المرتبطة بالنطاق هي هدف محدد
تستهدف CrashFix كل من المستخدمين المنزليين والشبكات المؤسسية – حيث تتلقى الآلات المرتبطة بالنطاق في الأخيرة برمجيات خبيثة مصممة خصيصًا، وفقًا لمختبرات Huntress. اكتشف باحث في الشركة الحملة أثناء البحث عن مانع إعلانات وتوجيهه عبر إعلان خبيث إلى NexShield، وهو تطبيق في متجر Chrome الإلكتروني يتظاهر بأنه التطبيق الشرعي uBlock Origin Lite.
تسبب الإضافة عمدًا في تعطل متصفح الباحث ثم ظهرت رسالة مزيفة تدعي أنها “توقفت بشكل غير طبيعي.” دفعت الرسالة الباحث لتشغيل فحص لإصلاح المشكلة، مما أدى إلى بدء سلسلة العدوى.
نسبت Huntress النشاط إلى “KongTuke”، وهو مهاجم تتبعه الشركة منذ أوائل عام 2025. تُظهر الحملة الأخيرة، وفقًا لـ Huntress، خطوة كبيرة في التعقيد لهذه المجموعة من المهاجمين وتدور حول ثلاثة مكونات رئيسية. أحدها هو إضافة المتصفح NexShield، والآخر هو تقنية الهندسة الاجتماعية CrashFix لتعطيل المتصفح. الجزء الثالث هو ModeloRAT، وهو حصان طروادة جديد يعتمد على بايثون يتم نشره حصريًا على الأنظمة المؤسسية.
“يتلقى المستخدمون المنزليون على محطات العمل المستقلة سلسلة عدوى منفصلة تبدو أنها لا تزال قيد الاختبار. عندما تمكنا أخيرًا من تجاوز جميع الطبقات، استجاب [خادم القيادة والتحكم، أو C2] بعبارة ‘TEST PAYLOAD!!!!'” كتب باحثو Huntress آنا فام، وتانر فيليب، وداني لوبيز. “سواء كان هذا يعني أن الأهداف غير المرتبطة بالنطاق هي أولوية أقل أو أن الحملة لا تزال قيد البناء، فإن الشيء الواضح هو أن KongTuke تطور عملياتها وتظهر اهتمامًا متزايدًا بالشبكات المؤسسية.”
أظهرت تحليل Huntress لـ NexShield أنه نسخة مطابقة تقريبًا من مانع الإعلانات الشرعي uBlock Origin Lite. بمجرد تثبيته على النظام، تظل الإضافة خاملة لمدة ساعة قبل أن تتسبب عمدًا في تعطل المتصفح، مما يغمر النظام بطلبات اتصال لا نهاية لها ويستهلك بسرعة كل الذاكرة المتاحة وقوة المعالجة.
عندما يحاول المستخدمون إعادة تشغيل متصفحهم المتعطل، يُقدم لهم تحذير أمان مزيف instructing them to open the Windows Run dialog and paste a repair command from their clipboard. The repair command in reality is a PowerShell script that silently initiates contact with the attacker’s C2 server and communicates details of the compromised system.
حصان طروادة ModeloRAT
إذا كان الجهاز مرتبطًا بالنطاق – كما هو الحال مع معظم الأنظمة المؤسسية – فإنه يتلقى ModeloRAT، وهو حصان طروادة ذو قدرات استكشاف نظام واسعة. تجمع البرمجيات الخبيثة معلومات حول نظام التشغيل، والعمليات الجارية، وتكوين الشبكة، وامتيازات المستخدم وتتحقق من وجود أدوات التحليل، ومؤشرات الآلات الافتراضية، والبرامج المضادة للفيروسات المثبتة.
وجدت Huntress أن ModeloRAT يستخدم تشفير RC4 للاتصالات مع C2 ويجري تعديلات على إشعارات سجل Windows لإقامة الاستمرارية. لجعل الكشف أكثر صعوبة، استخدمت البرمجيات الخبيثة أسماء تحاكي التطبيقات الشرعية – مثل Spotify وDiscord – لإخفاء حمولات إضافية في العلن.
تقوم نافذة CrashFix نفسها، التي توجه الضحية حول كيفية “إصلاح” متصفحهم المتعطل، بتنفيذ تقنيات متعددة لمكافحة التحليل، وفقًا لـ Huntress. وتشمل هذه حظر اختصارات لوحة المفاتيح لأدوات المطورين، وتعطيل القوائم التي قد تقدم سياقًا حول ما قد يحدث، ومنع تحديد النص.
من المحتمل أن تشكل CrashFix تهديدًا أكبر للمنظمات المؤسسية مقارنة بـ ClickFix لأن الأنظمة المؤسسية تبدو أنها الأهداف الرئيسية للاهتمام من قبل KongTuke وأيضًا بسبب مدى إقناع الاحتيال بالنسبة للضحايا المحتملين. إن التكتيك المتمثل في خلق مشكلة تقنية حقيقية (تعطيل المتصفح) ثم تقديم حل يبدو أنه “يخلق حلقة عدوى ذاتية الاستدامة تستغل إحباط المستخدمين،” كما قال باحثو Huntress.
نشرت Huntress مؤشرات الاختراق للحملة وتوصي بأن تراقب المنظمات الاستخدام غير العادي للأدوات الشرعية في Windows، إلى جانب مراقبة إضافات المتصفح التي تحتوي على طلبات أذونات مشبوهة أو تواريخ إنشاء حديثة. كما توصي الشركة الأمنية بأن تراقب المنظمات الإدخالات المشبوهة في مفاتيح تشغيل سجل Windows التي تبدو مشابهة لأسماء البرامج الشرعية وأوامر بايثون التي تفتح عمليات PowerShell مخفية.
“يبدو أن KongTuke يلعب المفضلات مع ضحاياه. الآلات المرتبطة بالنطاق، وهي عادةً نقاط نهاية مؤسسية لها وصول إلى Active Directory والموارد الداخلية والبيانات الحساسة، تحصل على معاملة VIP،” قال باحثو Huntress. “إما أن فرع المستخدم المنزلي لا يزال قيد التطوير، أو أن KongTuke يحتفظ بأفضل أدواته للأهداف المؤسسية حيث العائد على الاستثمار من اختراق ناجح أعلى بكثير.”
من المهم أن تكون على دراية بأحدث أساليب الاحتيال السيبراني مثل CrashFix. تأكد من تحديث أنظمتك ومراقبة الأنشطة المشبوهة لحماية نفسك ومنظمتك من هذه التهديدات المتطورة.
