ظهور أسلوب هجوم جديد باسم “FileFix” بعد ارتفاع هجمات “ClickFix” بنسبة 517%

ظهور أسلوب هجوم جديد باسم "FileFix" بعد ارتفاع هجمات "ClickFix" بنسبة 517%
ظهور أسلوب هجوم جديد باسم "FileFix" بعد ارتفاع هجمات "ClickFix" بنسبة 517%
شارك هذا الخبر

كشفت بيانات من شركة الأمن السيبراني ESET أن تكتيك “ClickFix” الهندسي الاجتماعي – الذي يعتمد على خدع تحقق وهمية من نوع CAPTCHA – قد شهد ارتفاعًا حادًا بنسبة 517% بين النصف الثاني من عام 2024 والنصف الأول من عام 2025، ليصبح أحد أكثر أساليب الاختراق انتشارًا وخطورة.

وقال “جيجي كروباك”، مدير مختبرات الحماية من التهديدات في ESET:

“قائمة التهديدات التي تُمهد لها هجمات ClickFix تتوسع يومًا بعد يوم، وتشمل برمجيات سرقة البيانات، وبرمجيات الفدية، وأحصنة طروادة للوصول عن بُعد، وأدوات تعدين العملات، وأدوات ما بعد الاستغلال، بل وحتى برمجيات خبيثة مخصصة من جهات تهديد مدعومة من دول.”

ما هو ClickFix؟

ClickFix هو أسلوب خادع ومضلل يعتمد على رسائل خطأ مزيفة أو عمليات تحقق وهمية، لإقناع الضحايا بنسخ ولصق أوامر خبيثة داخل نافذة “تشغيل” في ويندوز أو تطبيق “Terminal” في macOS.
وتتركز غالبية الاكتشافات حول هذا النوع من الهجمات في دول مثل اليابان وبيرو وبولندا وإسبانيا وسلوفاكيا.

وتشير ESET إلى أن شيوع هذا الأسلوب أدى إلى نشوء سوق سوداء يتم فيها بيع “مُنشئي صفحات” ClickFix، حيث يمكن للمهاجمين بناء صفحات هبوط خبيثة مخصصة لشن الهجوم بسهولة.

من ClickFix إلى FileFix: تهديد جديد أكثر دهاءً

في تطور لافت، استعرض الباحث الأمني “mrd0x” أسلوبًا جديدًا يحمل اسم FileFix، وهو بديل لأسلوب ClickFix ويعمل عبر خداع المستخدمين لنسخ مسار ملف إلى شريط العناوين في “File Explorer” على نظام ويندوز.

ويستغل هذا الهجوم قدرة مستعرض الملفات على تنفيذ أوامر النظام من خلال شريط العنوان، بالتزامن مع خاصية رفع الملفات في المتصفحات.

كيف تعمل هجمة FileFix؟

  • يتلقى الضحية رسالة تصيد تدعي أن “مستندًا تمت مشاركته معه”.

  • يُطلب منه نسخ “مسار ملف” معين إلى شريط العناوين عبر الضغط على CTRL + L.

  • عند النقر على زر “فتح مستعرض الملفات”، يتم نسخ أمر PowerShell خبيث إلى الحافظة (Clipboard).

  • عند اللصق، يتم تنفيذ هذا الأمر بدلًا من فتح الملف المفترض.

ولإخفاء الهجوم، يتم التلاعب بمسار الملف ليبدأ بأمر PowerShell، ثم يُضاف عدد من المسافات لطمس الأمر، يليها علامة “هاشتاغ” (#) لجعل الجزء الظاهري مجرد تعليق.

وهكذا، يظن المستخدم أنه يلصق مسار ملف، بينما في الواقع يُنفذ أمرًا خبيثًا.

حملات تصيّد متزامنة وواسعة الانتشار

يتزامن تصاعد هجمات ClickFix مع موجة كبيرة من حملات التصيّد الإلكتروني التي استخدمت تكتيكات متنوعة:

  • استخدام نطاقات حكومية (.gov) لإرسال رسائل بريد إلكتروني عن رسوم مرور غير مدفوعة، تقود إلى صفحات خبيثة لجمع معلومات شخصية ومالية.

  • تقنية “شيخوخة النطاقات” (LLDs) لتجاوز فلاتر الأمن، واستدراج الضحايا لصفحات تحقق مزيفة ثم سرقة بياناتهم عبر صفحات تحاكي Microsoft Teams.

  • إرسال ملفات LNK خبيثة داخل أرشيفات ZIP لتفعيل تعليمات PowerShell وتنزيل برمجية Remcos RAT للتجسس عن بُعد.

  • رسائل بريد وهمية تحذر المستخدم من امتلاء بريده الإلكتروني، وتحثه على “توفير مساحة” عبر النقر على زر يؤدي لصفحة تصيّد تستضيف برمجية XWorm عند فتح أرشيف مرفق.

  • سلاسل هجوم متعددة الخطوات تبدأ برابط PDF يحتوي على رابط آخر يُنزل أرشيف ZIP بداخله ملف تنفيذي ينشر أداة سرقة بيانات AutoIT باسم Lumma Stealer.

  • استغلال منصة Vercel الشرعية لاستضافة صفحات احتيالية تنشر إصدارًا خبيثًا من تطبيق LogMeIn، للحصول على تحكم كامل في أجهزة الضحايا.

  • رسائل SMS تتظاهر بأنها من دوائر المرور الأمريكية تطالب بدفع غرامات مزيفة وتوجه الضحية إلى صفحات مزيفة لجمع البيانات.

  • التنكر برسائل بريد بصيغة SharePoint تقود إلى صفحات تصيّد مستضافة على نطاقات  لسرقة كلمات مرور حسابات Microsoft.

وقالت شركة CyberProof:

“الروابط التي تحتوي على عناوين SharePoint أقل عرضة للرصد من قبل أنظمة مكافحة التصيّد، ويثق بها المستخدمون أكثر. كما أن الصفحات غالبًا ما تكون ديناميكية وتُفتح عبر روابط مخصصة لفترة محدودة، مما يجعل اكتشافها صعبًا على أدوات الفحص التلقائي.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 421

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة