تكتيك ClickFix في الهندسة الاجتماعية يتطور إلى FileFix مع زيادة هجمات الاحتيال بنسبة 517%
أفادت بيانات من شركة ESET الأمنية أن هجمات الهندسة الاجتماعية التي تستخدم تكتيك ClickFix كوسيلة للوصول الأولي، عبر التحقق المزيف من CAPTCHA، قد ارتفعت بنسبة 517% بين النصف الثاني من عام 2024 والنصف الأول من هذا العام.
قال Jiří Kropáč، مدير مختبرات منع التهديدات في ESET:
“قائمة التهديدات الناتجة عن هجمات ClickFix تتسع يوميًا، وتشمل برامج سرقة المعلومات، والرانسوموير، وأحصنة طروادة للوصول عن بُعد، وبرامج تعدين العملات الرقمية، وأدوات ما بعد الاستغلال، بالإضافة إلى برمجيات خبيثة مخصصة من جهات تهديد مرتبطة بالدول.”
ما هو تكتيك ClickFix؟
يعتمد ClickFix على إيهام الضحية برسائل خطأ زائفة أو طلبات تحقق CAPTCHA مزيفة، تدفعه لنسخ ولصق سكريبت خبيث في نافذة تشغيل ويندوز (Windows Run dialog) أو في تطبيق Terminal الخاص بنظام macOS وتشغيله.
يقوم هذا السكريبت بتنفيذ أوامر قد تسمح للجهة المهاجمة بالتحكم بالجهاز أو سرقة بياناته.
تتركز معظم عمليات الكشف عن ClickFix في دول مثل: اليابان، بيرو، بولندا، إسبانيا، وسلوفاكيا.
تطور من ClickFix إلى FileFix
قدم الباحث الأمني mrd0x نموذج إثبات مفهوم (PoC) لتقنية جديدة مشابهة تسمى FileFix، حيث يخدع المستخدمين بنسخ ولصق مسار ملف داخل مستكشف ملفات ويندوز (Windows File Explorer).
في هذا السيناريو، يقوم المهاجم بإنشاء صفحة تصيد تعرض رسالة تفيد بمشاركة مستند مع الضحية، وتوجهه لنسخ مسار الملف ولصقه في شريط العنوان داخل File Explorer باستخدام CTRL + L.
ويتم تضمين زر “فتح مستكشف الملفات” (Open File Explorer) ينفذ أمرًا خبيثًا يُنسخ تلقائيًا إلى الحافظة (Clipboard). وعندما يلصق الضحية المسار، يتم تنفيذ الأمر الخبيث بدلًا من المسار.
كيفية عمل الأمر الخبيث في FileFix
يقوم الباحث بشرح الأمر كالتالي:
-
يبدأ الأمر بـ
Powershell.exe -c ping example.comلتنفيذ الأمر الخبيث. -
يتبعه
#لتعليق باقي السطر، مما يخفي المسار الزائفC:\\decoy.doc. -
يظهر للمستخدم المسار الزائف ليظن أنه ينفذ أمرًا آمنًا.
قال mrd0x:
“أمر PowerShell يدمج مسار الملف المزيف بعد علامة التعليق لإخفاء الأمر وإظهار المسار بدلاً منه.”
حملات التصيد المتعددة المرتبطة بتكتيك ClickFix
شهدت الأسابيع الأخيرة ظهور عدة حملات تصيد تعتمد على تقنيات متقدمة، منها:
-
استخدام نطاقات حكومية
.govلإرسال رسائل تصيد تدعي وجود مخالفات رسوم مرور غير مدفوعة -
استغلال نطاقات طويلة العمر (LLDs) لإنشاء صفحات تحقق CAPTCHA مزيفة تؤدي إلى صفحات مزورة لسرقة بيانات Microsoft
-
توزيع ملفات Windows shortcut (LNK) مضغوطة تُشغل كود PowerShell لنشر برمجيات خبيثة مثل Remcos RAT
-
رسائل تحذيرية مزيفة تفيد بأن صندوق البريد ممتلئ وتحفز المستخدم على الضغط على روابط تقوده لصفحات تصيد تستهدف بيانات البريد الإلكتروني
-
استخدام منصة Vercel المشروعة لاستضافة مواقع مزورة توزع نسخًا خبيثة من برنامج LogMeIn
-
انتحال جهات حكومية مثل إدارات المركبات في الولايات المتحدة لإرسال رسائل نصية مزيفة تستدرج المستخدمين لمواقع تصيد تجمع بياناتهم وبطاقاتهم الائتمانية
-
استغلال رسائل البريد الإلكتروني المستهدفة ذات الطابع SharePoint لتوجيه المستخدمين إلى صفحات سرقة بيانات اعتماد Microsoft
أوضح خبراء CyberProof:
“رسائل البريد التي تحتوي على روابط SharePoint أقل احتمالًا لأن تُكتشف كرسائل خبيثة، لأن المستخدمين يثقون في روابط Microsoft، والصفحات غالبًا ما تكون مؤقتة وصعبة الاكتشاف آليًا.”
