تستغل المتسللون خدع “ClickFix” لنشر البرامج الخبيثة

يستغل القراصنة “ClickFix” في التلاعب الاجتماعي، ويخدعون المستخدمين بواسطة أخطاء وهمية أو CAPTCHA لتنفيذ PowerShell، وينشرون البرامج الخبيثة على مستوى العالم منذ عام 2024.

يستخدم المجرمون الإلكترونيون بشكل متزايد تكتيكاً ذكياً في الهندسة الاجتماعية يُطلق عليه “ClickFix” لتوزيع البرمجيات الخبيثة، حيث يستهدفون الغريزة الفردية لإصلاح المشكلات بمفردهم.

كشفت الأبحاث من Proofpoint يوم الاثنين عن الاستخدام المتزايد لهذه الطريقة، والتي تم رصدها في العديد من الحملات منذ مارس 2024.

تعتمد تقنية “ClickFix” على رسائل الخطأ الوهمية التي تظهر من خلال مربعات الحوار المنبثقة. تظهر هذه الرسائل كأنها شرعية وتحث المستخدمين على إصلاح المشكلة المزعومة بأنفسهم، كما توضح Proofpoint.

غالبًا ما توجه التعليمات المستخدمين إلى نسخ ولصق نص برمجي يتم توفيره في واجهة PowerShell الخاصة بالكمبيوتر، وهي أداة تُستخدم لتنفيذ الأوامر على أنظمة ويندوز. دون علم المستخدم، تقوم هذه العملية بتنزيل وتشغيل برنامج خبيث.

لقد رأت Proofpoint استخدام هذا الأسلوب في رسائل البريد الإلكتروني المصيدة، وعناوين الروابط الخبيثة، والمواقع الإلكترونية المخترقة.

تتنكر الجهات المهددة لعملياتها الاحتيالية على أنها إشعارات من مصادر موثوقة مثل Microsoft Word, Google Chrome وحتى الخدمات المحلية المُصممة خصيصًا لصناعات معينة، مثل الخدمات اللوجستية أو النقل.

تتضمن إحدى الأشكال الخبيثة بشكل خاص من ClickFix تحديات CAPTCHA الوهمية، حيث يُطلب من المستخدمين “إثبات أنهم بشر”، كما يوضح Proofpoint.

تتم مزامنة حيلة CAPTCHA مع التعليمات البرمجية لتنفيذ أوامر ضارة تقوم بتثبيت برامج الفدية الخبيثة مثل AsyncRAT ، DarkGate ، أو Lumma Stealer. ما يذكر بصفة خاصة هو أن هناك أدوات لهذه الخدعة الخاصة بـ CAPTCHA ظهرت على GitHub، مما يسهل على المجرمين استخدامها.

وفقًا لـ Proofpoint، فقد استهدف القراصنة مجموعة من المنظمات على مستوى العالم، بما في ذلك الكيانات الحكومية في أوكرانيا. في إحدى الحالات، قاموا بتقليد GitHub، باستخدام تنبيهات الأمان المزيفة لإعادة توجيه المستخدمين إلى مواقع ويب ضارة.

أدت هذه الاحتيالات إلى إصابات ببرامج الفدية في أكثر من 300 منظمة.

ما يجعل ClickFix فعالًا للغاية هو قدرته على تجاوز العديد من التدابير الأمنية. بما أن المستخدمين ينفذون طوعًا الأوامر الخبيثة، فإن مرشحات البريد الإلكتروني التقليدية وأدوات مكافحة الفيروسات أقل احتمالاً لرفع العلم على النشاط، كما يقول Proofpoint.

تُشدد Proofpoint على أن هذه الخطة تعتبر جزءاً من اتجاه أوسع في عالم القرصنة: تManipulation للسلوك البشري بدلاً من استغلال الثغرات التقنية فقط. يعتمد القراصنة على استعداد المستخدمين لحل المشكلات بشكل مستقل، وغالباً ما يتجاوزون فرق الدعم الفني في العملية.

لمواجهة هذا التهديد، يجب على الشركات أن تُثقف الموظفين حول الخدع المتعلقة بـClickFix، وتعزز أهمية التشكك تجاه التعليمات غير المطلوبة لإصلاح الأعطال.

البقاء يقظين والإبلاغ عن الرسائل الإلكترونية المشبوهة أو النوافذ المنبثقة يمكن أن يساعد في منع الوقوع ضحية لهذه الهجمات الحاذقة.