تُعد هجمات ClickFix، أو ما يُعرف أيضًا بأسماء مثل FileFix أو fake CAPTCHA، أحد أسرع أساليب القرصنة نموًا في مشهد التهديدات الحديثة، إذ تعتمد على تفاعل المستخدم نفسه مع شيفرات خبيثة داخل المتصفح لتنفيذ أوامر ضارة على جهازه دون أن يدرك.
كيف تعمل هجمات ClickFix؟
تبدأ الهجمة عادةً عندما يُطلب من المستخدم حلّ اختبار CAPTCHA مزيف أو “إصلاح خطأ” ظاهر على الصفحة. لكن جوهر الخدعة يكمن في أنها تدفع المستخدم إلى نسخ كود من الصفحة إلى الحافظة ثم لصقه وتشغيله محليًا، ما يؤدي إلى تنفيذ أوامر خبيثة تمنح المهاجمين السيطرة على الجهاز.
ويُعتقد أن هذا الأسلوب يُستخدم بانتظام من قِبل مجموعة Interlock للبرمجيات الفدية، إلى جانب جهات تهديد بارزة أخرى، بينها مجموعات مدعومة من دول. وقد ارتبطت عدة اختراقات كبرى بهذا النوع من الهجمات، من بينها Kettering Health وDaVita وجامعة تكساس للعلوم الصحية ومدينة سانت بول في ولاية مينيسوتا.
السبب الأول: المستخدمون غير مستعدين لهذا النوع من الهجمات
على مدى عقد من الزمن، ركّزت حملات التوعية الأمنية على تجنّب النقر على الروابط المشبوهة أو تحميل الملفات غير الموثوقة أو إدخال كلمات المرور في مواقع غير آمنة. لكنها لم تُعِر اهتمامًا لمسألة تشغيل أوامر محلية على الجهاز، وهي النقطة التي تستغلها هجمات ClickFix بذكاء.
ويزداد الخطر لأن عملية نسخ الشيفرة الخبيثة تتم تلقائيًا عبر JavaScript في معظم الحالات دون وعي المستخدم. ومع تزايد احترافية المواقع المزيفة التي تحاكي صفحات أصلية وتُظهر مقاطع فيديو تعليمية مزيفة، يصبح من السهل جدًا خداع المستخدمين.
وتشير أبحاث شركة Push Security إلى أن أبرز وسيلة لتوزيع هذه الهجمات هي التسميم عبر تحسين نتائج البحث (SEO poisoning) والإعلانات الخبيثة (Malvertising) على Google Search، حيث يُنشئ المهاجمون نطاقات جديدة أو يستولون على مواقع شرعية لاستدراج الضحايا.
السبب الثاني: الهجوم يفلت من أدوات الكشف التقليدية
تتسم هجمات ClickFix بقدرتها العالية على تجنّب أنظمة المراقبة الأمنية في مراحل التسليم الأولى. فهي لا تُرسل عبر البريد الإلكتروني وبالتالي لا تمر على أدوات تصفية البريد المزعج، كما أن صفحاتها تستخدم تقنيات تمويه وتدوير النطاقات وحماية ضد الروبوتات وإخفاء معقد للشيفرات البرمجية لمنع أنظمة الكشف من التعرف عليها.
وتُوزع هذه الإغراءات عبر شبكة الويب المفتوحة — من نتائج البحث إلى الإعلانات الممولة — مما يجعل رصدها أكثر صعوبة. بل إن الإعلانات الخبيثة يمكن استهدافها حسب الدولة أو الجهاز أو حتى نطاق البريد الإلكتروني للمستخدم، ما يمنح المهاجمين دقة عالية في استهداف الضحايا.
وتكمن خطورة إضافية في أن الشيفرة الخبيثة تُنسخ وتُنفّذ داخل بيئة المتصفح (sandbox)، وهي منطقة لا تستطيع أغلب أدوات المراقبة الأمنية الوصول إليها، مما يعني أن الفرصة الوحيدة لاعتراض الهجوم تأتي لاحقًا على مستوى الجهاز (endpoint).
السبب الثالث: أنظمة EDR هي خط الدفاع الأخير — لكنها ليست كافية
تُعتبر أنظمة الكشف والاستجابة الطرفية (EDR) آخر حاجز أمام هجمات ClickFix، لكنها ليست دائمًا فعالة.
فبما أن المستخدم هو من يُشغّل الكود، ولا يحدث أي تحميل ملف خارجي، تفتقد أدوات EDR السياق اللازم لتحديد السلوك كتهديد.
كما أن الأوامر قد تكون مشفّرة أو مجزأة إلى مراحل لتفادي التعرّف على الأنماط الخبيثة.
ورغم أن بعض الحلول قادرة على اعتراض الهجوم عند تنفيذ البرمجية الخبيثة فعليًا، إلا أن المهاجمين مستمرون في تحديث أدواتهم لتجاوز أنظمة الكشف. وتزداد المشكلة في بيئات الأجهزة الشخصية غير المُدارة (BYOD)، حيث لا تكون أنظمة EDR مفعّلة على كل الأجهزة.
لماذا تفشل التوصيات التقليدية؟
الاقتراحات الأمنية الشائعة — مثل تعطيل نافذة Run في ويندوز — لا توفر حماية كافية، لأن المهاجمين باتوا يستغلون أدوات نظامية أخرى (LOLBins) لتنفيذ الأوامر، ومن الصعب عمليًا منع الوصول إليها جميعًا.
كما يُتوقّع أن تتطور هذه الهجمات قريبًا لتُنفّذ بالكامل داخل المتصفح نفسه، دون المرور بالجهاز مطلقًا، مثل إدخال شيفرة JavaScript مباشرة في أدوات المطور (DevTools).
الحماية من المصدر: اكتشاف النسخ واللصق الخبيث
تقدّم Push Security حلاً مبتكرًا عبر ميزة كشف النسخ واللصق الضار داخل المتصفح، والتي تعترض هجمات ClickFix مبكرًا قبل أن تنتقل إلى الجهاز.
تعمل هذه التقنية ضمن بيئة المتصفح مباشرة دون تعطيل تجربة المستخدم أو تقليل الإنتاجية، على عكس الحلول التقليدية التي تحظر النسخ واللصق بشكل كامل.
كما تتيح منصة Push Security رصد الهجمات الأخرى مثل التصيد القائم على الوسيط (AiTM)، والامتدادات الخبيثة للمتصفح، والاستيلاء على الجلسات باستخدام رموز المصادقة المسروقة، إضافة إلى معالجة الثغرات في تسجيل الدخول الموحد (SSO) والفجوات في المصادقة متعددة العوامل (MFA).
