تستهدف حملة ClickFix الجديدة عملاء قطاع الضيافة باستخدام تقنيات متطورة تشمل خدع كابتشا مزيفة واستغلال الشاشة الزرقاء للموت. في هذا المقال، نستعرض تفاصيل الحملة وطرق الدفاع ضدها.
ظهرت هجمة جديدة من ClickFix تستهدف عملاء قطاع الضيافة باستخدام سلسلة عدوى متعددة المراحل تجمع بين تحديات كابتشا المزيفة واستغلال “الشاشة الزرقاء للموت” في نظام Microsoft Windows.
حدد الباحثون من Securonix الحملة، التي تم تتبعها تحت اسم PHALT#BLYX، والتي تستخدم خدع إلغاء الحجز المزيفة المصممة لتقليد Booking.com لخداع الضحايا لتنفيذ أوامر PowerShell خبيثة تقوم بتسليم البرمجيات الخبيثة، كما كشفوا في منشور مدونة نُشر يوم الاثنين. تقوم الحملة في النهاية بنشر DCRat، وهو حصان طروادة للوصول عن بُعد مرتبط بروسيا.
على طول الطريق، تستفيد الحملة من الشاشة الزرقاء للموت، التي تقدمها بعد تحدي كابتشا مزيف، وهو سمة نموذجية لهجمات ClickFix، وفقًا للمنشور. كتب الباحثون في Securonix: “إنها حيلة لـ ClickFix تنفذ أمر PowerShell لتحميل ملف proj.”
تستغل الهجمة أيضًا أداة موثوقة داخل بيئة Windows، وهي MSBuild.exe، لتجميع وتنفيذ حمولتها، التي هي “نسخة مشوشة بشدة من DCRat، قادرة على تجويف العمليات، وتسجيل ضغطات المفاتيح، والوصول عن بُعد المستمر، وإسقاط حمولات ثانوية”، كما كتب الباحثون.
تستخدم صفحة الحجز المزيفة رسوم الفنادق باليورو الأوروبي، مما يشير إلى أن الأهداف في تلك المنطقة. في الوقت نفسه، يستخدم المهاجمون أيضًا اللغة الروسية في جوانب الهجوم، مما يدل على أنهم فاعلون تهديد من روسيا أو دولة ناطقة بالروسية تستخدم عادةً DCRat، المعروف أيضًا باسم Dark Crystal RAT. تم إنشاء البرمجيات الخبيثة بواسطة مطور روسي وقد تم استخدامها في الماضي ضد أوكرانيا من قبل مجموعة تهديد تم تتبعها تحت اسم UAC-0200.
هجمات ClickFix هنا لتبقى
ClickFix هي طريقة هجوم تم تفصيلها لأول مرة من قبل الباحثين في Proofpoint في عام 2024 حيث تظهر المواقع المخترقة رسائل خطأ مزيفة للمستخدمين عن طريق تنفيذ كود PowerShell، مما يخدعهم عبر الهندسة الاجتماعية للاعتقاد بأن عليهم تثبيت تحديث للمتصفح. في الواقع، ومع ذلك، فإن تثبيت “التحديث” ينشر بالفعل البرمجيات الخبيثة على الجهاز.
منذ اكتشافها، أدت هذه التقنية إلى تبني سريع بين الفاعلين التهديديين، وصناعة الضيافة هي واحدة من العديد من القطاعات المستهدفة بهجمات ClickFix. بالفعل، استخدمت حملة حديثة موسم عطلة عيد الميلاد — أحد أكثر الأوقات ازدحامًا في القطاع — لاستهداف الناس من خلال إرسال رسائل تصيد باستخدام خدع Booking.com تحتوي على روابط لموقع حجز مزيف.
ظهرت أولى ملامح حملة PHALT#BLYX قبل عدة أشهر، مع تطور في سلسلة الهجوم التي توضح نية المهاجمين في التهرب من الكشف والحفاظ على الاستمرارية على المدى الطويل، كما أشار الباحثون. كتبوا: “تسمح المناورة النفسية، جنبًا إلى جنب مع استغلال ثنائيات النظام الموثوقة مثل ‘MSBuild.exe’، للعدوى بإقامة موطئ قدم عميق داخل نظام الضحية قبل أن تتمكن الدفاعات التقليدية من الرد.”
يبدو أن المهاجمين يمتلكون أيضًا “فهمًا عميقًا” لحماية النقاط النهائية الحديثة، وهو ما يتضح من التعقيد الفني لسلسلة العدوى، واستخدام ملف مشروع MSBuild مخصص لتحويل التنفيذ، و”التلاعب العدواني باستثناءات Windows Defender”، كما أشار الباحثون.
“علاوة على ذلك، فإن الحمولات النهائية لا يتم إسقاطها فقط بل يتم حقنها في العمليات الشرعية مثل ‘aspnet_compiler.exe’، مما يخفى النشاط الخبيث خلف واجهة العمليات النظامية العادية”، كما كتبوا.
الدفاع ضد ClickFix
مع قدوم حملات ClickFix إلى الضحايا بسرعة منذ اكتشاف هذه التكتيك — وأصبحت حملات التصيد بشكل عام أكثر تعقيدًا وتجنبًا — حث الباحثون المؤسسات على تعزيز وعي المستخدمين بها حتى لا يصابوا عن غير قصد بشبكات الشركات مع RATs أو برمجيات خبيثة أخرى.
على وجه التحديد، نصحوا بتحذير الموظفين من اتباع التعليمات لنسخ كود السكربت في مربع حوار تشغيل Windows أو محطات PowerShell، “خصوصًا عندما يُطلب منهم ذلك من صفحات خطأ المتصفح”، كما كتب الباحثون في المنشور. يجب توجيههم أيضًا لممارسة الحذر العام عند مواجهة رسائل بريد إلكتروني تدعي أنها من خدمات الضيافة، خاصة عندما تتضمن “مطالبات مالية عاجلة”، كما أشاروا.
للدفاع ضد حملة PHALT#BLYX وتكتيكاتها، يجب على المؤسسات تمكين رؤية امتداد الملفات في Windows وتنفيذ مراقبة صارمة لـ MSBuild.exe، خاصة في الحالات التي تنفذ فيها ملفات المشروع من دلائل غير قياسية. يجب عليهم أيضًا مراقبة ثنائيات النظام الشرعية، مثل “aspnet_compiler.exe” و”RegSvcs.exe” و”RegAsm.exe”، بحثًا عن سلوكيات غير عادية مثل إجراء اتصالات شبكة صادرة إلى عناوين IP غير معروفة على منافذ غير قياسية. كما قدم منشور Securonix استعلامات بحث يمكن أن يستخدمها عملاؤها لمسح النقاط النهائية للنشاط الخبيث المتعلق بالحملة.
في ظل تزايد تعقيد الهجمات الإلكترونية، من الضروري أن تكون المؤسسات على دراية بتكتيكات مثل حملة ClickFix. من خلال تعزيز الوعي والتدابير الأمنية، يمكن تقليل المخاطر المرتبطة بهذه التهديدات.
