تستهدف حملة ClickFix الفنادق بشكل متزايد، مما يؤدي إلى تهديدات خطيرة ضد العملاء. في هذا المقال، نستعرض تفاصيل هذه الحملة وأثرها على قطاع الضيافة.
حملة ClickFix تستهدف الفنادق وتثير هجمات ثانوية على العملاء
كشف الباحثون عن حملة واسعة النطاق تستهدف الفنادق من خلال هجمات ClickFix لسرقة بيانات العملاء كجزء من هجمات مستمرة ضد قطاع الضيافة تشمل هجمات ثانوية ضد عملاء المنشآت.
اكتشف محللو التهديدات في Sekoia.io النشاط عندما أبلغهم أحد الشركاء عن حملة تصيد استخدمت إما رسائل بريد إلكتروني أُرسلت من حساب Booking.com المخترق للفندق أو رسائل على WhatsApp، وفقًا لتقرير نُشر يوم الجمعة. كان لدى المهاجمين بيانات العملاء، بما في ذلك معرفات شخصية وتفاصيل الحجز، مما جعل محاولاتهم في التصيد تبدو أكثر شرعية.
بعد مزيد من التحليل، أدرك الباحثون أن النشاط كان جزءًا من حملة أوسع بدأت حوالي أبريل وكانت نشطة حتى على الأقل أكتوبر، تتضمن هجوم ClickFix الذي ينشر برمجيات خبيثة لسرقة المعلومات تستهدف الفنادق وغيرها من منشآت الإقامة، كما قالوا. مكنت الحملة من سرقة بيانات الاعتماد المهنية التي تمنح الوصول إلى منصات الحجز، مثل Booking.com وExpedia.
كتب جيريمي سيون، كوينتين بورغ، وفريق استجابة كشف التهديدات في Sekoia في التقرير: “ثم قام المهاجمون إما ببيع بيانات الاعتماد التي تم جمعها في منتديات الجرائم الإلكترونية أو استغلالها مباشرة لإرسال رسائل بريد إلكتروني احتيالية لعملاء الفنادق، غالبًا كجزء من مخططات احتيال مصرفية”. علاوة على ذلك، اكتشفوا “مئات من النطاقات الخبيثة النشطة لعدة أشهر اعتبارًا من أكتوبر 2025، مما يدل على حملة مرنة ومن المحتمل أن تكون مربحة”، وفقًا للتقرير.
استهداف قطاع الضيافة
تستخدم الهجمة الأولية ضد الفنادق حساب بريد إلكتروني مخترق لإرسال رسائل خبيثة إلى عدة منشآت فندقية. في بعض الحالات، يقوم المهاجمون بتغيير “من” في رأس الرسالة لتقليد Booking.com، بينما تكون خطوط الموضوع غالبًا متعلقة بمسائل الضيوف، بما في ذلك الإشارات إلى الحجز في اللحظة الأخيرة، والقوائم، والحجوزات، وما إلى ذلك.
تستخدم سلسلة الهجوم بعد ذلك عنوان URL لإعادة التوجيه الذي يؤدي في النهاية إلى تحدي reCAPTCHA الخاص بـ ClickFix حيث يُطلب من المستخدمين نسخ أمر PowerShell خبيث. يؤدي هذا الأمر في النهاية إلى نشر برمجيات خبيثة لسرقة المعلومات وTrojan للوصول عن بُعد (RAT).
استشهدت Sequoia.io بأبحاث مارس من Microsoft التي تفصيلت هجمات المهاجمين الذين يتظاهرون بـ Booking.com في هجمات ClickFix ضد الفنادق، مشيرة إلى أن الحملات متشابهة.
في يونيو الماضي، قدمت Cofense أيضًا تفاصيل عن حملة ClickFix تستهدف الفنادق التي استخدمت طُعمًا متعلقًا بالضيوف مشابهًا لما أوضحته Sekoia.io. أشار تقرير Cofense إلى أن الهجمات قدمت أيضًا برمجيات خبيثة لسرقة المعلومات وRAT، مما يدل على نشاط هجوم مستمر ضد قطاع الضيافة باستخدام ClickFix.
تسليم برمجيات خبيثة متعددة عبر ClickFix
ClickFix هي طريقة هجوم تم تفصيلها لأول مرة من قبل الباحثين في Proofpoint العام الماضي حيث تعرض موقع مخترق رسائل خطأ مزيفة للمستخدمين عن طريق تنفيذ تعليمات برمجية خبيثة، مما يخدعهم للاعتقاد بأنهم بحاجة إلى تنزيل أو تحديث برنامج لمعالجة المشكلة. في الواقع، يؤدي تثبيت “التحديث” إلى تنفيذ برمجيات خبيثة على أجهزتهم. منذ اكتشافها، اكتسبت هذه الطريقة جذبًا مستمرًا مع المهاجمين.
في هذه الحملة، يتم تسليم برمجيات خبيثة لسرقة المعلومات التي تجمع بيانات متنوعة من النظام المخترق، بما في ذلك معلومات النظام الرئيسية، وتنزيل ملفات تؤدي إلى إطلاق RAT المعروف باسم “PureRAT” لمزيد من الأنشطة الخبيثة. كما أن برنامج سرقة المعلومات يقدم تحديثات حالة إلى بنيته التحتية للتحكم في الأوامر (C2) في كل خطوة من خطوات الهجوم للإشارة إلى التقدم الناجح للعملية، كما أشار الباحثون.
PureRAT هو برمجيات خبيثة كخدمة (MaaS) تُعرف أيضًا باسم PureHVNC وResolverRAT. بمجرد نشرها، تشمل قدرات PureRAT الوصول عن بُعد إلى واجهة المستخدم، والتحكم في الماوس ولوحة المفاتيح، والتقاط الكاميرا والميكروفون، وتسجيل المفاتيح، وتحميل/تنزيل الملفات، وتوجيه حركة المرور، واستخراج البيانات، وتنفيذ الأوامر أو الملفات عن بُعد، وفقًا لتقرير Sekoia.io.
هجمات العملاء الثانوية
أدت هجمات ClickFix ضد الفنادق إلى هجمات ثانوية ضد عملائهم، حيث يقوم المهاجمون بالاتصال بهم عبر WhatsApp أو البريد الإلكتروني باستخدام تفاصيل الحجز الشرعية للهدف، وفقًا للباحثين.
كتبوا: “ادعى الرسالة أن هناك مشكلة أمنية مزعومة حدثت أثناء التحقق من تفاصيل مصرفية العميل وحثتهم على تأكيد معلوماتهم”. “لتعزيز مصداقية الرسالة، أوضح المهاجم أن هذه كانت إجراءً تم تنفيذه بواسطة Booking لحماية ضد الإلغاءات.”
ثم يطلب المهاجمون من الضحايا التحقق من تفاصيلهم المصرفية من خلال زيارة عنوان URL، الذي يؤدي إلى صفحة تصيد تحاكي طباعة وتصميم Booking.com وتجمع معلومات الضحية المصرفية.
تجنب عمليات الاحتيال ClickFix
تعتبر الحملة دليلًا إضافيًا على فعالية المهاجمين المتزايدة في مختلف جوانب الأنشطة الخبيثة، بما في ذلك الهندسة الاجتماعية في استهدافهم لمواقع Booking.com والضيافة، بالإضافة إلى استخدام الطعوم ذات الصلة والبرمجيات الخبيثة المتاحة في منتديات الجرائم الإلكترونية.
لمساعدة المدافعين على تجنب الاختراق، قدمت Sekoia.io قائمة بمؤشرات الاختراق (IoCs) في المنشور، بما في ذلك تلك المرتبطة بعنوان URL لإعادة توجيه Clickfix، وعنوان URL PowerShell، والحمولة؛ ومرحلة PureRAT والحمولة؛ وعناوين URL المعنية في حملة التصيد ضد عملاء الفنادق.
كما هو الحال دائمًا، ينبغي على الأشخاص أن يكونوا مشكوكين في تلقي رسائل البريد الإلكتروني غير المرغوب فيها المتعلقة بالخدمات التي يستخدمونها بشكل متكرر، وتحليلها بعناية، حتى لو بدت وكأنها تأتي من مرسل أو مزود خدمة موثوق.
مع تزايد التهديدات السيبرانية، يجب على الفنادق والعملاء أن يكونوا أكثر وعيًا وإدراكًا لمخاطر ClickFix. اتخذ خطوات لحماية نفسك ومعلوماتك.
