كشف باحثون في الأمن السيبراني تفاصيل حملة جديدة تحمل اسم ClickFix، تستغل مواقع شرعية مخترقة لنشر برمجية وصول عن بُعد (RAT) غير موثقة سابقاً تُعرف باسم MIMICRAT أو AstarionRAT. الحملة أظهرت مستوى عالياً من التعقيد التشغيلي، حيث تم توظيف مواقع من قطاعات وجغرافيات متعددة كجزء من البنية التحتية لنشر البرمجية، مع سلسلة متعددة المراحل من أوامر PowerShell تتجاوز أنظمة الحماية قبل تثبيت محمل برمجي يعتمد على لغة Lua.
آلية العدوى وتقنيات التمويه
بحسب تقرير Elastic Security Labs، تبدأ سلسلة العدوى من موقع شرعي لخدمة التحقق من أرقام البطاقات البنكية bincheck[.]io، الذي تم اختراقه لحقن شيفرة JavaScript خبيثة. هذه الشيفرة تستدعي سكربت PHP خارجي يعرض صفحة تحقق مزيفة من Cloudflare، ويطلب من الضحية نسخ ولصق أمر في نافذة التشغيل الخاصة بويندوز.
هذا الأمر يؤدي إلى تنفيذ سلسلة PowerShell تتصل بخادم تحكم وسيطرة (C2) لجلب سكربت إضافي يقوم بتعطيل أنظمة تسجيل الأحداث (ETW) وفحص البرمجيات الخبيثة (AMSI)، قبل أن يثبت محمل يعتمد على Lua. في المرحلة الأخيرة، يقوم المحمل بفك تشفير وتنفيذ شيفرة خبيثة في الذاكرة لتثبيت برمجية MIMICRAT.
قدرات برمجية MIMICRAT
البرمجية مكتوبة بلغة C++ وتتمتع بقدرات واسعة لما بعد الاختراق، تشمل:
- انتحال رموز Windows للوصول غير المصرح به.
- إنشاء نفق SOCKS5 لتجاوز القيود الشبكية.
- تنفيذ 22 أمراً مختلفاً للتحكم في العمليات والملفات، والوصول التفاعلي إلى الأوامر، وحقن الشيفرات، والتحكم في النظام.
تتواصل البرمجية مع خوادم التحكم عبر بروتوكول HTTPS على المنفذ 443، باستخدام ملفات تعريف HTTP تشبه حركة مرور أدوات التحليلات الشرعية، ما يجعل اكتشافها أكثر صعوبة.
ارتباطات مع حملات سابقة
تشير التقييمات إلى وجود تشابه تكتيكي وبنيوي بين هذه الحملة وحملة أخرى موثقة من قبل Huntress، والتي أدت إلى نشر محمل Matanbuchus 3.0، الذي يعمل كقناة لتثبيت نفس البرمجية. الهدف النهائي لهذه الهجمات يُعتقد أنه يتراوح بين نشر برمجيات الفدية أو سرقة البيانات الحساسة.
نطاق الاستهداف والانتشار
الحملة تدعم 17 لغة، حيث يتم عرض المحتوى الخادع بشكل ديناميكي وفق لغة المتصفح لدى الضحية، ما يوسع نطاق الاستهداف عالمياً. وقد تم رصد ضحايا في جامعة أميركية، إضافة إلى مستخدمين ناطقين بالصينية ناقشوا الهجمات في منتديات عامة، ما يشير إلى أن الاستهداف يتم بشكل واسع وعشوائي عبر مناطق متعددة.
