تستغل هجمات ClickFix نماذج الذكاء الاصطناعي وتسميم محركات البحث لتوصيل برمجيات خبيثة، مما يمثل تهديدًا كبيرًا لأمان المستخدمين.
تستخدم هجمة جديدة تسمى ClickFix تسميم محركات البحث ونماذج الذكاء الاصطناعي الشهيرة لتوصيل برمجيات خبيثة لجمع المعلومات، مع الاستفادة من النطاقات الشرعية.
لقد اكتسبت هجمات ClickFix شعبية كبيرة على مدار العام الماضي، حيث تستخدم مطالبات شبيهة بـ CAPTCHA لجذب المستخدمين إلى شعور زائف بالأمان ثم تخدعهم لتنفيذ أوامر ضارة ضد أنفسهم. غالبًا ما يتم توصيل هذه المطالبات من خلال تسميم محركات البحث وحملات التصيد، مما يمثل واحدة من أرقى تطبيقات الهندسة الاجتماعية في الجريمة الإلكترونية حتى الآن.
قام باحثو Huntress، ستيوارت أشنبرنر وجوناثان سيمون، بتفصيل طريقة جديدة لهذا النوع من الهجمات، حيث يقوم المستخدم غير المدرك بالبحث في Google عن مشكلة يريد حلها، مثل تنظيف قرصه الصلب. وجدت Huntress أنه في بعض عمليات البحث، قد تتضمن نتائج الصفحة الأولى روابط شرعية لـ ChatGPT وGrok تشير إلى طلب المستخدم.
ينقر المستخدم على النتيجة وينتقل إلى محادثة مع نماذج اللغة الكبيرة (LLMs) حيث يتم إعطاء المستخدم تعليمات حول كيفية، على سبيل المثال، تحرير مساحة القرص على نظام MacOS. ومع ذلك، ما يبدو كأنه نصيحة بسيطة يطلب فعليًا من المستخدم تشغيل موجه الأوامر للتواصل مع خادم المهاجم وتثبيت برمجيات خبيثة لجمع المعلومات — في هذه الحالة، برنامج جمع المعلومات MacOS AMOS. هذا هو بالضبط ما حدث لعميل من Huntress في 5 ديسمبر.
تستفيد هذه الهجمة من الثقة التي يمتلكها المستخدمون (المكتسبة أو غير المكتسبة) في روبوتات الدردشة الذكية، بالإضافة إلى أي ثقة قد يتمكن المهاجم من استغلالها من علامة تجارية شهيرة لنموذج لغة كبير.
استغلال الثقة في الذكاء الاصطناعي في هجمات ClickFix
وفقًا لمنشور مدونة Huntress، “اعتقد العميل أنهم يتبعون نصيحة من مساعد ذكاء اصطناعي موثوق، تم تقديمها عبر منصة شرعية، ظهرت من خلال محرك بحث يستخدمونه كل يوم.”
“بدلاً من ذلك، كانوا قد نفذوا للتو أمرًا قام بتنزيل نسخة من AMOS التي جمعت كلمات مرورهم بصمت، وتصاعدت إلى الجذر، ونشرت برمجيات خبيثة دائمة،” كتب أشنبرنر وسيمون. “لا تحميل ضار. لا تحذيرات أمان. لا تجاوز لحمايات macOS المدمجة. مجرد بحث، نقرة، ونسخ ولصق، في تسرب بيانات دائم كامل.”
بينما تستفيد العديد من حملات الهندسة الاجتماعية من مواقع مزيفة أو مقلدة أو عنوان بريد إلكتروني مكتوب بشكل خاطئ لتوصيل البرمجيات الخبيثة، تستخدم هذه الحملة المنصات الفعلية للذكاء الاصطناعي ومحركات البحث مع قليل من تسميم محركات البحث لجعل الضحايا يلوثون أنفسهم.
يخبر سيمون، الذي هو محلل SOC رئيسي في Huntress، Dark Reading أن المهاجم ينشئ الرابط عن طريق هندسة موجه نموذج اللغة ليبدو كأنه استكشاف شرعي (بينما يتضمن الأمر الضار)، ثم إنشاء عنوان URL من خلال ميزة المشاركة الموجودة في منصة الذكاء الاصطناعي. يتم بعد ذلك مشاركة المحادثة الضارة عبر مزارع المحتوى، والمنتديات، وقنوات Telegram، والمواقع ذات الجودة المنخفضة من أجل “زيادة أهمية الروابط الخلفية بشكل مصطنع لكلمات البحث المتعلقة بالاستكشاف.”
في هذه الهجمة، تقدم المحادثات الدردشة AMOS، وهي برمجية خبيثة لجمع المعلومات على نظام Mac تعمل بشكل دائم وتجمع بيانات مستهدفة مثل محافظ العملات المشفرة، والوصول إلى سلسلة المفاتيح، وبيانات اعتماد المتصفح، والمزيد.
الدفاع ضد هجمات ClickFix بأسلوب الذكاء الاصطناعي
يعتقد سيمون، الذي يخبر Dark Reading، “أن هذه التكتيك قد يصبح وسيلة الوصول الأولية السائدة للبرمجيات الخبيثة والعائلات الأخرى من البرمجيات الخبيثة خلال الستة إلى الثمانية عشر شهرًا القادمة، خاصة لسرقة بيانات الاعتماد، واختطاف المحافظ، والأوامر المخادعة، عبر كل من Windows وmacOS.”
هناك طرق عديدة للتعامل مع هذه التهديدات. بشكل مباشر، تنصح Huntress بأنه نظرًا لأن وسيلة العدوى تبدو كأنها نشاط شرعي (موجه ChatGPT)، يجب على المدافعين التركيز على السلوكيات غير الطبيعية مثل osascript، وهي أداة سطر الأوامر في macOS، التي تطلب بيانات اعتماد المستخدم والتنفيذات المخفية في أدلة المستخدمين المنزلية.
بالنسبة للمستخدمين النهائيين، لا تنفذوا أوامر طرفية من مصادر غير مألوفة واستخدموا عادات قوية لكلمات المرور (مثل كلمات مرور طويلة وعشوائية وربما مدير للحفاظ على أمان الحسابات). أيضًا، على الرغم من أن هذه الهجمة حالة فريدة بعض الشيء، إلا أنها تذكرنا بالتفكير النقدي قبل اعتبار أي مخرجات ذكاء اصطناعي كحقيقة قابلة للتنفيذ.
“تواجه المعارك التقليدية لتوصيل البرمجيات الخبيثة ضد الغريزة. تبدو رسائل البريد الإلكتروني للتصيد مشبوهة. تحذيرات المثبتات المقرصنة. لكن نسخ أمر من صديقنا الذكي ChatGPT؟ يبدو ذلك منتجًا. يبدو آمنًا. يبدو كحل بسيط لمشكلة مزعجة،” كما جاء في منشور المدونة. “تعتبر هذه الاستراتيجية اختراقًا، حيث اكتشف المهاجمون قناة توصيل لا تتجاوز فقط الضوابط الأمنية ولكن أيضًا تتجاوز نموذج التهديد البشري تمامًا.”
تذكر دائمًا أن تكون حذرًا عند التعامل مع المعلومات من مصادر غير مألوفة، وكن واعيًا لأساليب الهجمات الجديدة.
