في تطور جديد يثير القلق في عالم الأمن السيبراني، رصد الباحثون حملات متعددة تستخدم تقنية ClickFix لتوسيع نطاق تسليم البرمجيات الخبيثة عبر loaders جديدة وخدع تعتمد على تحديثات مزيفة. هذه الحملات، التي وثقتها شركات مثل Morphisec وBlueVoyant وHuntress، تكشف عن أساليب متقدمة في التضليل والاختراق تستهدف المؤسسات التعليمية والمالية، إضافة إلى قطاعات أخرى متنوعة.
BabaDeda Loader وتطور خدمات التشفير
الهجمات المرتبطة بـ BabaDeda Loader ظهرت في أبريل 2026، واستهدفت مؤسسات تعليمية ومالية. هذا الـ loader الجديد يحتفظ بالجينوم البرمجي القديم لكنه يضيف قدرات أكبر في التخفي وتعددية الحمولة.
يعتمد على خداع المستخدمين عبر أوامر PowerShell، ليقوم لاحقًا بإسقاط برمجيات مثل information stealers وRATs باستخدام تقنيات مثل DLL side-loading والتخزين الخارجي للحمولات.
البرمجية قادرة على جمع بيانات حساسة، استخراج ملفات، التقاط صور للشاشة، وتنفيذ أوامر عن بُعد، مما يجعلها أداة متكاملة للتجسس والسيطرة.
Lorem Ipsum Loader عبر مواقع ووردبريس مخترقة
حملة أخرى اعتمدت على مواقع ووردبريس مخترقة لتوزيع Lorem Ipsum Loader، وهو backdoor جديد نشط منذ فبراير 2026.
اللافت أن المهاجمين انتقلوا من أسلوب التثبيتات المزيفة لتطبيقات Teams إلى استغلال مواقع مخترقة، بعد تعطيل مايكروسوفت لمجموعة Fox Tempest التي كانت توفر شهادات توقيع مزورة.
الـ loader يستغل تحديثات أمنية مزيفة لمتصفح Edge، ويقوم بتنزيل ملفات ZIP تحتوي على نسخة قديمة من Node.js لتشغيل حمولة جافاسكربت خبيثة، تنتهي بتسليم برمجيات فدية مثل Rhysida وBlackCat.
Potemkin Loader وتهديدات EtherRAT
الحملة الثالثة اعتمدت على Potemkin Loader، وهو محمل مخصص يعمل عبر حزم MSI وملفات HTA، ويستخدم خوارزمية توليد نطاقات (DGA) للاتصال بخوادم التحكم.
هذا الـ loader يمهد الطريق لتثبيت أدوات مثل EtherRAT وRMMProject، التي تتيح التحكم عن بُعد، سرقة بيانات المتصفح، وتنفيذ أوامر Lua.
الهجمات تضمنت أنشطة مباشرة مثل تعطيل Microsoft Defender، إنشاء أنفاق عبر Cloudflare، والانتشار الأفقي داخل الشبكات للوصول إلى وحدات التحكم في النطاق.
ClickFix كخدعة مستمرة
رغم جهود شركات الأمن، تبقى تقنية ClickFix فعالة لأنها تستغل الطبيعة البشرية في اتباع التعليمات الظاهرة.
من أمثلة ذلك: شاشات تحقق مزيفة، أو تعليمات مباشرة مثل “اضغط Win+R، الصق هذا الأمر، ثم Enter”.
حتى شركة Apple اضطرت لإضافة تنبيه جديد في macOS Tahoe 26.4 يحذر المستخدمين عند محاولة لصق أوامر في Terminal، في محاولة للحد من هذه المخاطر.
