تستمر الهجمات الإلكترونية في التطور، حيث تظهر تقنيات جديدة مثل ClickFix التي تستغل ثغرات في أنظمة CAPTCHA لنشر البرمجيات الخبيثة.
حملة البرمجيات الخبيثة ClickFix تستغل CAPTCHAs لنشر إصابات عبر الأنظمة
أظهرت النتائج الجديدة من Guardio Labs أن مجموعة من طرق الانتشار، وتعقيد السرد، وتقنيات التهرب قد مكنت التكتيك الاجتماعي المعروف باسم ClickFix من الانطلاق بالطريقة التي فعلها على مدار العام الماضي.
قال الباحث الأمني شاكيد تشين في تقرير تم مشاركته مع The Hacker News: “مثل سلالة فيروسية في العالم الحقيقي، تجاوزت هذه السلالة الجديدة ‘ClickFix’ بسرعة وأزالت في النهاية الاحتيال الشهير لتحديث المتصفح المزيف الذي كان يزعج الإنترنت في العام الماضي”.
“لقد فعلت ذلك من خلال إزالة الحاجة لتنزيل الملفات، واستخدام تكتيكات اجتماعية أكثر ذكاءً، والانتشار عبر بنية تحتية موثوقة. والنتيجة – موجة من الإصابات تتراوح بين الهجمات الجماعية إلى الخدع المستهدفة بشكل دقيق.”
ClickFix هو الاسم المعطى لتكتيك اجتماعي حيث يتم خداع الأهداف المحتملة لإصابة أجهزتهم الخاصة تحت ستار إصلاح مشكلة غير موجودة أو التحقق من CAPTCHA. تم اكتشافه لأول مرة في البرية في أوائل عام 2024.
طرق الهجوم
في هذه الهجمات، يتم استخدام متجهات إصابة متنوعة مثل رسائل البريد الإلكتروني الاحتيالية، والتنزيلات التلقائية، والإعلانات الضارة، وتسميم تحسين محركات البحث (SEO) لتوجيه المستخدمين إلى صفحات مزيفة تعرض رسائل خطأ.
تتمثل هذه الرسائل في هدف واحد: توجيه الضحايا لاتباع سلسلة من الخطوات التي تؤدي إلى تنفيذ أمر خبيث تم نسخه بشكل سري إلى الحافظة عند لصقه في مربع حوار تشغيل Windows أو تطبيق Terminal في حالة نظام Apple macOS.
الأمر الخبيث، بدوره، يشغل تسلسل متعدد المراحل يؤدي إلى نشر أنواع مختلفة من البرمجيات الخبيثة، مثل سرّاق المعلومات، والبرمجيات الخبيثة للوصول عن بُعد، والمحملات، مما يبرز مرونة التهديد.
تطور ClickFix
أصبح التكتيك فعالاً للغاية لدرجة أنه أدى إلى ما تسميه Guardio CAPTCHAgeddon، حيث استخدمه كل من المجرمين الإلكترونيين والجهات الفاعلة من الدول في العشرات من الحملات في فترة زمنية قصيرة.
ClickFix هو طفرة أكثر سرية من ClearFake، الذي يتضمن استغلال مواقع WordPress المخترقة لتقديم نوافذ منبثقة لتحديث المتصفح المزيف التي، بدورها، توصل برمجيات خبيثة. بعد ذلك، قامت ClearFake بدمج تقنيات التهرب المتقدمة مثل EtherHiding لإخفاء الحمولة في المرحلة التالية باستخدام عقود سلسلة الكتل الخاصة بـ Binance (BSC).
قال Guardio إن تطور ClickFix ونجاحه هو نتيجة التحسين المستمر من حيث متجهات الانتشار، وتنوع الإغراءات والرسائل، والطرق المختلفة المستخدمة للتقدم على منحنى الكشف، لدرجة أنه في النهاية حل محل ClearFake.
قال تشين: “كانت المطالبات المبكرة عامة، لكنها أصبحت بسرعة أكثر إقناعًا، مضيفةً عناصر من الإلحاح أو الشكوك”. “هذه التعديلات زادت من معدلات الامتثال من خلال استغلال الضغط النفسي الأساسي.”
بعض الطرق الملحوظة التي تكيف بها نهج الهجوم تشمل استغلال Google Scripts لاستضافة تدفقات CAPTCHA المزيفة، وبالتالي الاستفادة من الثقة المرتبطة بنطاق Google، بالإضافة إلى تضمين الحمولة ضمن مصادر ملفات تبدو شرعية مثل socket.io.min.js.
“هذه القائمة المخيفة من التقنيات – التشفير، التحميل الديناميكي، الملفات التي تبدو شرعية، التعامل عبر الأنظمة، تسليم الحمولة من طرف ثالث، واستغلال المضيفين الموثوقين مثل Google – توضح كيف أن المهاجمين قد تكيفوا باستمرار لتجنب الكشف”، أضاف تشين.
“إنه تذكير صارخ بأن هؤلاء المهاجمين لا يقومون فقط بتحسين إغراءاتهم الاحتيالية أو تكتيكاتهم الاجتماعية، بل يستثمرون بشكل كبير في الأساليب التقنية لضمان بقاء هجماتهم فعالة وقادرة على الصمود أمام التدابير الأمنية.”
رابط إلى المصدر: ClickFix Malware Campaignمع استمرار تطور هذه التهديدات، من الضروري أن نكون واعين ونستخدم تدابير الحماية المناسبة للحفاظ على أجهزتنا آمنة.
