تتطور هجمات ClickFix بشكل مستمر، حيث تستخدم أساليب جديدة لتجاوز تدابير الأمان التقليدية. في هذا المقال، نستعرض كيف يتم استغلال أمر DNS لتوزيع البرمجيات الخبيثة ModeloRAT.
تطورت هجمات ClickFix لتلبية أحدث تدابير الدفاع من خلال استخدام أمر جديد لتجاوز الأمان وجعل الأشخاص يقومون بإصابة أجهزتهم بالبرمجيات الخبيثة – في هذه الحالة، برنامج وصول عن بُعد (RAT) لأنظمة Windows.
كانت مايكروسوفت هي الأولى التي لاحظت التغيير في الهجمات، التي كانت مستمرة منذ عام 2024، حيث نشرت على X الأسبوع الماضي أن المهاجمين الذين يستخدمون ClickFix قد توصلوا إلى “أسلوب ت evasive آخر” باستخدام أمر nslookup بدلاً من أوامر PowerShell أو mshta، التي تم استخدامها في الهجمات السابقة.
الآن، يقوم المهاجمون “بطلب من الأهداف تشغيل أمر ينفذ استعلام DNS مخصص ويحلل استجابة ‘Name:’ لتلقي الحمولة التالية للتنفيذ”، وفقًا لمايكروسوفت. استخدام DNS بهذه الطريقة يقلل من الاعتماد على الطلبات التقليدية عبر الويب ويسمح للمهاجمين “بدمج النشاط الخبيث في حركة مرور الشبكة العادية”، حسبما ذكرت الشركة. يمكن أن تعمل الهجمات حتى في بيئة مؤسسية، مما يجعل المستخدمين في الشركات عرضة للخطر أثناء تصفح الويب.
في الهجمات التي رصدتها مايكروسوفت، يبدأ الأمر سلسلة من العدوى التي تقوم بتنزيل أرشيف ZIP من خادم خارجي يستخرج سكربت Python خبيث ليقوم في النهاية بإسقاط سكربت Visual Basic لتنفيذ ModeloRAT. البرمجية الخبيثة هي RAT تعتمد على Python تمنح المهاجمين السيطرة الكاملة على جهاز Windows المصاب.
نفس أسلوب الهجوم مع لمسة DNS
“يهدف أمر nslookup إلى استكشاف مشكلات الشبكة، والتحقق مما إذا كان DNS مُعدًا بشكل صحيح، والتحقيق في المجالات الغريبة، وليس لتنزيل أو تشغيل البرامج”، وفقًا لتحليل لاحق للهجوم من قبل مختبرات Malwarebytes التي نُشرت يوم الاثنين.
يبدو أن المجرمين الذين يستخدمون ClickFix قد اكتشفوا أن أوامر mshta و PowerShell التي كانوا يستخدمونها سابقًا “تُحجب بشكل متزايد بواسطة برامج الأمان”، كتب الباحث في Malwarebytes، بيتر أرنتز.
“Nslookup هو أداة مدمجة لاستخدام ‘دليل الهاتف’ على الإنترنت، والمجرمون يقومون بشكل أساسي باستغلال ذلك الدليل لتهريب التعليمات والبرمجيات الخبيثة بدلاً من مجرد الحصول على عنوان”، كتب.
بصرف النظر عن هذا الاختلاف، تتبع الهجمات نفس الأسلوب في البداية، حيث تقدم تعليمات CAPTCHA مزيفة لإثبات أن شخصًا ما ليس روبوتًا، مما يمنح الأشخاص شعورًا زائفًا بالأمان أنهم يتصفحون الويب بأمان، وفقًا للمنشور.
بعد تحدي CAPTCHA المزيف، يستخدم المهاجمون عادةً الخداع – إما بإبلاغ الأشخاص بحل مشكلات كمبيوتر غير موجودة أو تثبيت تحديث للمتابعة؛ مما يتسبب في تعطل المتصفح؛ أو حتى تقديم مقاطع فيديو تعليمية – كل ذلك في محاولة لإقناعهم بإصابة أجهزتهم بأنفسهم عن طريق لصق أمر خبيث من المفترض أن يحل المشكلة. بدلاً من ذلك، يقوم بتسليم البرمجيات الخبيثة، حيث كانت الهجمات السابقة تسلم برامج سرقة المعلومات أو – في حالة إساءة استخدام ClickFix من قبل APTs الكورية الشمالية – أبواب خلفية للتجسس على الضحايا.
تظهر هذه الهجمات الأخيرة أن مجرمي الإنترنت قد وجدوا طريقة أخرى لاستغلال أداة تقنية موثوقة لتنفيذ الخطوة التالية من الهجوم، مما قد يؤدي إلى فقدان شخص ما السيطرة على جهازه للمهاجمين، كتب أرنتز.
نصائح لتصفح آمن
بالنظر إلى انتشار هجمات ClickFix وتطورها المستمر منذ أن رصدها باحثو Proofpoint لأول مرة قبل حوالي عامين، من الضروري أن يكون الناس على دراية بالخطر الذي يكمن في إجراء تغييرات غير معروفة على أنظمتهم عبر الأوامر المقدمة من خلال متصفحهم.
لذلك، قدمت مختبرات Malwarebytes نصائح للمستخدمين حول كيفية حماية أنفسهم. أولاً، يجب عليهم التمهل عند مواجهة تعليمات على صفحة ويب أو مطالبة، خاصة إذا طُلب منهم تشغيل أوامر على جهازهم أو نسخ ولصق كود. حذر أرنتز من أن بعض الهجمات تستخدم مؤقتات أو عد تنازلات لهذه التحديثات أو الأوامر. “يعتمد المهاجمون على الإلحاح لتجاوز تفكيرك النقدي، لذا كن حذرًا من الصفحات التي تحث على اتخاذ إجراء فوري”، كتب.
يجب على الناس أيضًا تجنب تشغيل أوامر أو سكربتات من مصادر غير موثوقة مثل المواقع الإلكترونية أو الرسائل الإلكترونية أو الرسائل “ما لم تثق في المصدر وتفهم الغرض من الإجراء”، كتب أرنتز. من المفيد التحقق من التعليمات بشكل مستقل من خلال الوثائق الرسمية أو حتى دعم العملاء قبل اتخاذ أي إجراء.
يمكن أيضًا منع إصابات ClickFix إذا تم الحد من استخدام النسخ واللصق للأوامر، كما أشار أرنتز، حيث يمكن أن يقلل كتابة الأوامر يدويًا في النظام بدلاً من مجرد نسخها ولصقها من خطر تشغيل الحمولة الخبيثة المخفية في النص المنسوخ.
من الضروري أن يكون المستخدمون واعين للمخاطر المرتبطة بالأوامر التي تُطلب منهم تنفيذها عبر الإنترنت. اتبع النصائح المقدمة لحماية نفسك من هذه الهجمات المتطورة.
