يتناول هذا المقال أحدث التطورات في هجوم JackFix، وكيف يتجاوز تدابير ClickFix التقليدية.
تظهر نسخة جديدة من هجوم ClickFix، تُعرف باسم “JackFix”، وهي مصممة لتجاوز بعض الاستراتيجيات التي تستخدمها المؤسسات للتخفيف من هذه الهجمات.
تُعتبر ClickFix ونسختها الأكثر أناقة FileFix، معروفة بكونها مُناورة بشكل لا يُصدق. يُقنع المهاجمون الضحايا بتنفيذ أوامر على أجهزة الكمبيوتر الخاصة بهم لم يكونوا ليقوموا بها أبداً، وقد لا يقومون بها أبداً.
الآن، هناك نسخة جديدة تُسمى “JackFix”، التي تضيف سياقاً منطقياً لتلك الأفعال الغريبة التي يُجبر الضحايا على القيام بها. يرفع JackFix من مستوى الخداع النفسي إلى 100، مع طُعم تصيد يسبب القلق وقفل شاشة قديم الطراز. كما يحتوي على بعض الحيل التقنية البسيطة لخداع حلول الأمان أيضاً.
نتيجة لذلك: تم الإبلاغ عن مئات من حالات JackFix في VirusTotal – “أكثر بكثير من الحملات الأخرى [ClickFix] التي رأيناها مؤخراً،” كما أفاد الباحث الأمني في Acronis إلياد كيمحي. تركزت هذه التقارير بشكل كبير في الولايات المتحدة، ولكنها تمتد أيضاً عبر أوروبا.
طُعم التصيد JackFix
في هجوم ClickFix التقليدي، يُعرض على الضحايا نوع من المشكلة التقنية المزيفة. هذا يعطي سياقاً للمهمة التي يجب عليهم تنفيذها – نسخ ولصق كود لا يفهمونه في مربع حوار تشغيل Windows – لكنه لا يُثير القلب بالضرورة.
لجذب انتباه الضحايا حقاً ومساعدتهم على نسيان غرائزهم الأفضل، استلهم المجرمون الإلكترونيون الذين يتحدثون الروسية وراء JackFix من كتاب الألعاب القديم للقراصنة.
من خلال الإعلانات الضارة أو بعض وسائل التصيد الأخرى، يتم جذب الضحايا إلى نسخ مزيفة من مواقع الإباحية الشهيرة، ثم بمجرد تفاعلهم مع الصفحة، يُصابون بشاشة زرقاء في Windows. الشاشة مزيفة، لكنها تقوم بعمل جيد في إعادة إنشاء تحديث Windows حرج حقيقي. تملأ الشاشة بأكملها، وتحتوي على عداد تقدم مزيف ورسوم متحركة لتحميل النقاط التي تتحرك في دائرة. يتم أيضاً حظر بعض اختصارات لوحة المفاتيح لمنع المستخدمين من الهروب.
بالنسبة لكيمحي، يُذكره ذلك بهجمات الفدية المثيرة للقلق في الماضي. “في الأيام الأولى من الفدية، اكتشف المهاجمون أنه لا حاجة لاحتجاز ملفات الكمبيوتر بالكامل، عندما يمكنك فقط قفل الشاشة ومحاولة إقناع الضحية بإرسال المال إليك،” كتب. قد يكون المستخدم المذعور أكثر عرضة لأداء أفعال غير مألوفة – مثل تشغيل أوامر ضارة في مربع الحوار تشغيل – ويمكن أخذ التنسيق في أي عدد من الاتجاهات الإبداعية، كما أشار كيمحي، والذي “قد يتبين أنه أكثر جاذبية ومرونة من هجوم ClickFix التقليدي.”
كيف يتجاوز JackFix حماية الأمان
حتى لو تم لف الضحية البشرية في خدعة ClickFix، هناك العديد من الطرق التي يمكن أن تلتقط بها برامج الأمان الفجوة.
على سبيل المثال، في هجوم ClickFix النموذجي، يقوم موقع ويب بنسخ كود ضار إلى الحافظة الخاصة بالمستخدم، ثم يُوجههم حول كيفية تشغيله. نظرياً، قد تلتقط القواعد المعتمدة على السلاسل أو الأنماط السكربتات التي تتعامل مع النسخ إلى الحافظة، والأفعال الضارة المعروفة التي يقوم بها الضحية على جهازه. لذلك، يقوم JackFix بتشفير كل من Javascript المستخدم للنسخ إلى الحافظة، والأوامر الضارة التي يُفترض أن يقوم المستخدم بتشغيلها، ويعيد بنائها فقط في وقت التشغيل، في الذاكرة.
أو لنفترض أن الضحية تشغل كود المهاجم في مربع الحوار تشغيل، ويستدعي الكود عنوان URL، حيث يكمن بعض البرامج الضارة. يمكن أن تكتشف أي عدد من حماية الشبكة حركة المرور إلى عنوان URL ضار معروف، وتمنعه. لحل هذه المشكلة، يقوم عنوان URL الخاص بـ JackFix بإجراء تصفية قائمة على المحتوى، حيث يقسم حركة المرور الواردة إلى مجموعتين. إذا وصل الزائر إلى الموقع مباشرة، فإنه يُعيد توجيههم تلقائياً إلى موقع غير ضار، مثل Google أو Steam. فقط عندما يتم الوصول إلى الموقع من خلال تدفق هجوم JackFix، يكشف عن طبيعته الحقيقية، ويقدم البرامج الضارة. يجعل هذا الموقع أكثر صعوبة في التحليل وأقل احتمالاً أن يتم وضع علامة عليه بواسطة أدوات استخبارات التهديد، وبالتالي يتجنب إلى حد كبير أن يتم وضع علامة عليه كضار من قبل البرامج التي تراها على طول سلسلة الهجوم.
السكريبت Powershell الذي يتم تنزيله من ذلك URL كبير ومشوش بشكل كبير، مع كود ميت وأسماء متغيرات عشوائية مصممة لهزيمة التحليل الثابت. ثم يطلب من المستخدم منح امتيازات إدارية، ويستمر في إزعاجهم حتى يقبلوا. بعد منح نفسه مجموعة متنوعة من الاستثناءات في Microsoft Defender، يقوم السكريبت بتجنيد مجموعة من ما يصل إلى ثمانية عينات برامج ضارة تجارية مختلفة. تشمل بعض أشهر أدوات سرقة المعلومات في العالم الإلكتروني – Rhadamanthys، Vidar 2.0، RedLine، وAmadey – بالإضافة إلى سلسلة من المحملات. وصفت Acronis ذلك بأنه “أكثر الأمثلة فظاعة على الرش والصلاة التي شهدناها على الإطلاق.”
في النهاية، هناك تدابير ClickFix التي لا يتناولها JackFix. على سبيل المثال، يمكن للمؤسسات معالجة جميع متغيرات ClickFix ببساطة عن طريق تعطيل تشغيل Windows لبعض الموظفين الذين لا يحتاجون إليه، باستخدام إعدادات سياسة المجموعة. أو، يضيف كيمحي، “إذا كان بإمكان المؤسسة القيام بأي شيء للحد من قدرة المتصفح على جعل الصفحة ملء الشاشة، فقد يزيل ذلك الكثير من تأثير هذا الهجوم.”
تظل الحماية من هجمات JackFix ممكنة من خلال تطبيق تدابير أمان فعالة وتوعية المستخدمين.
