أطلق القائمون على مجموعة برامج الفدية Interlock إصدارًا جديدًا بلغة PHP من أداة الوصول عن بُعد (RAT) الخاصة بهم، وذلك ضمن حملة واسعة النطاق تستخدم آلية تسليم تُعرف باسم FileFix، وهي نسخة مطورة من تقنية ClickFix.
ووفقًا لتحليل فني نشره موقع The DFIR Report بالتعاون مع شركة Proofpoint، فإن النشاط المرتبط بـ Interlock RAT بدأ منذ مايو 2025، وتم ربطه بمجموعات التهديد المعروفة باسم LandUpdate808 (أو KongTuke) المتخصصة في حقن تعليمات برمجية خبيثة على مواقع الويب.
توجيه المستخدمين إلى صفحات تحقق CAPTCHA مزيفة
تبدأ الحملة من خلال مواقع إلكترونية مخترقة تحتوي على شفرة JavaScript أحادية السطر مخفية داخل شفرة HTML الخاصة بالصفحة، وغالبًا ما يكون ذلك دون علم مالكي المواقع أو زوارها. وتعمل هذه الشفرة كـ “نظام توزيع حركة مرور” (TDS) عبر تصفية عناوين IP، حيث يُعاد توجيه المستخدمين إلى صفحات تحقق CAPTCHA مزيفة تستغل ClickFix لدفعهم إلى تشغيل سكربت PowerShell يؤدي إلى تثبيت برمجية NodeSnake (المعروفة أيضًا باسم Interlock RAT).
وكانت شركة Quorum Cyber قد وثّقت سابقًا استخدام Interlock لهذه البرمجية الخبيثة في هجمات سيبرانية استهدفت مؤسسات حكومية محلية وجامعات في المملكة المتحدة خلال يناير ومارس 2025. وتُستخدم البرمجية لتوفير وصول دائم إلى الأنظمة، واستطلاع الأجهزة المصابة، وتنفيذ أوامر عن بُعد.
توزيع الإصدار الجديد المكتوب بلغة PHP تم رصده في حملات ظهرت الشهر الماضي باستخدام FileFix، ويُعتقد أن هذه الأنشطة ذات طابع انتهازي، إذ تستهدف طيفًا واسعًا من القطاعات. ويشير الباحثون إلى أن آلية FileFix تُستخدم أحيانًا لتوزيع إصدار PHP فقط، وفي حالات أخرى تؤدي إلى تثبيت نسخة Node.js من نفس البرمجية الخبيثة.
إقناع الضحايا بنسخ وتنفيذ أوامر عبر شريط العنوان في مستكشف الملفات (File Explorer)
وتُعد FileFix تطويرًا لآلية ClickFix، إذ تستغل ميزة موجودة في نظام تشغيل Windows تُمكّن المهاجمين من إقناع الضحايا بنسخ وتنفيذ أوامر عبر شريط العنوان في مستكشف الملفات (File Explorer). وكان الباحث الأمني المعروف باسم mrd0x قد كشف عن FileFix كدليل إثبات مفهوم في يونيو الماضي.
بمجرد التثبيت، يقوم Interlock RAT بجمع معلومات من الجهاز المصاب وإرسالها بصيغة JSON، كما يتحقق من مستوى صلاحياته لتحديد ما إذا كان يعمل كمستخدم عادي أو كمسؤول أو ضمن مستوى SYSTEM، ثم يتصل بخادم بعيد لتنزيل وتشغيل حمولات بصيغة EXE أو DLL.
تضمين عناوين IP ثابتة في الشيفرة لضمان استمرار الاتصال
يحقق البرنامج الخبيث الاستمرارية على الجهاز من خلال تعديل سجل النظام (Windows Registry)، ويستخدم بروتوكول سطح المكتب البعيد (RDP) للانتقال بين الأجهزة داخل الشبكة. ويُشار إلى أن إحدى خصائص هذا الإصدار تتمثل في استغلاله لنطاقات نفق Cloudflare Tunnel لإخفاء موقع خادم القيادة والسيطرة (C2)، مع تضمين عناوين IP ثابتة في الشيفرة لضمان استمرار الاتصال حتى في حال تعطيل النفق.
وقد أشار الباحثون إلى أن هذا الاكتشاف يعكس استمرار تطور أدوات مجموعة Interlock وتزايد تعقيد عملياتها، مشيرين إلى أن استخدام لغة PHP، كلغة برمجة شائعة في تطوير مواقع الويب، يمنح المهاجمين وسيلة جديدة للوصول إلى شبكات الضحايا والحفاظ على وجودهم فيها.
