احتيال Captcha الوهمي: كيف يخدع الهاكرز المستخدمين لتحميل البرامج الضارة

تقدم ClickFix Captcha نفسها كاختبار تحقق غير ضار، ولكن المجرمين الإلكترونيين يستخدمون هذه الاستراتيجية لتوزيع البرامج الخبيثة على المستخدمين دون علمهم.

تم ربط طريقة توزيع البرمجيات الخبيثة بتسليم الفدية وانتشار فيروس QakBot الخاص بالمصرفية، وسرقة المعلومات. منذ اكتشافه الأولي في عام 2008، يقول الباحثون أن QakBot تطور إلى قطعة برمجية خبيثة متطورة.

اكتشف الباحثون في مجال الأمن في فرقة DarkAtlas Research Squad هجومًا جديدًا خدع المستخدمين بالاعتقاد أنهم يقومون بأعمال الكابتشا القياسية. كان المستخدمون يشغلون تعليمات برمجية على أجهزة الكمبيوتر الخاصة بهم دون علمهم.

قامت كابتشا ClickFix بتوجيه المستخدمين لتنشيط مفتاح الويندوز + R الذي أطلق تلقائيًا أمرًا محملًا مسبقًا مخزن في الحافظة. قام الأمر بتنزيل ملف مشفر سرًا من خادم بعيد أثناء تنفيذ الكود الخبيث دون إثارة أي شك.

كشفت DarkAtlas أيضًا أن البرمجيات الخبيثة استخدمت التشفير XOR لإخفاء الغرض الحقيقي لها، مما يجعل الكشف عنها صعبًا بشكل خاص. قام المهاجمون بإنشاء نطاقات وهمية لاستضافة ملفات ZIP التي تحتوي على حمولات خبيثة.

بمجرد التنزيل، تم استخراج هذه الملفات وتنفيذ البرامج النصية الضارة المصممة لسرقة المعلومات الحساسة أو نشر برامج الفدية. ما يثير القلق هو أن القراصنة قادرون على إنشاء عدد غير محدود من عناوين URL الفريدة لتوزيع برمجياتهم الخبيثة، مما يجعله من الصعب تقريبًا على أنظمة الأمان أن تضعهم في القائمة السوداء بفعالية.

هذا الهجوم يتماشى مع تقرير الربع الثالث من العام 2024 الصادر عن Gen والذي يظهر زيادة كبيرة في “هجمات الاحتيال الذاتي” التي تخدع المستخدمين لتثبيت البرامج الخبيثة. يستخدم المهاجمون خدع ClickFix بالإضافة إلى موجهات CAPTCHA الوهمية والدروس التعليمية المضللة للسيطرة على الموقع.

وفقًا للتقرير، جعلت تكنولوجيا الذكاء الصناعي والتزييف العميق الاحتيال أكثر صعوبة في الكشف عنه. يمكن للمستخدمين البقاء محميين من التهديدات المتطورة بمساعدة Norton Genie.

تنصح الباحثات المستخدمين بالبقاء على قدم وساق وتجنب تنفيذ الأوامر غير المتوقعة القادمة من المواقع الإلكترونية غير المعروفة.