قراصنة روس يستخدمون تقنية ClickFix الاحتيالية لنشر برمجية LOSTKEYS الخبيثة

قراصنة روس يستخدمون تقنية ClickFix الاحتيالية لنشر برمجية LOSTKEYS الخبيثة
قراصنة روس يستخدمون تقنية ClickFix الاحتيالية لنشر برمجية LOSTKEYS الخبيثة
شارك هذا الخبر

كشفت تقارير أمنية أن مجموعة COLDRIVER، المرتبطة بروسيا، تقوم بتوزيع برمجية خبيثة جديدة تُدعى LOSTKEYS كجزء من حملة تجسس تعتمد على خدع هندسة اجتماعية مشابهة لتقنية ClickFix.

ما هي برمجية LOSTKEYS؟

وفقًا لمجموعة جوجل لاستخبارات التهديدات (GTIG)، فإن البرمجية قادرة على:

  • سرقة ملفات من مسارات محددة مسبقًا على الجهاز.

  • جمع معلومات النظام والعمليات الجارية وإرسالها إلى المهاجمين.

وقد رُصدت هذه البرمجية في يناير، مارس، وأبريل ٢٠٢٥ في هجمات استهدفت:

  • مستشارين حاليين وسابقين لحكومات وجيوش غربية.

  • صحفيين، مراكز أبحاث، ومنظمات غير حكومية.

  • أفراد مرتبطين بأوكرانيا.

تطور تكتيكات COLDRIVER

تُعد LOSTKEYS ثاني برمجية خبيثة مخصصة تُنسب إلى COLDRIVER بعد SPICA، مما يُظهر تحولًا في استراتيجية المجموعة بعيدًا عن هجمات تصيد البيانات التي اشتهرت بها سابقًا. تُعرف هذه المجموعة أيضًا بأسماء مثل Callisto، Star Blizzard، وUNC4057.

صرح الباحث الأمني ويسلي شيلدز:

“تهتم المجموعة بسرقة بيانات الاعتماد، ثم تسريب البريد الإلكتروني وقوائم الاتصال من الحسابات المخترقة. في بعض الحالات، تنشر برمجيات خبيثة لسرقة الملفات مباشرة من الأجهزة.”

كيف تعمل هجمات ClickFix؟

تبدأ الهجمات بموقع وهمي يعرض نافذة CAPTCHA مزيفة، حيث يُطلب من الضحايا:

  1. فتح نافذة Run في ويندوز.

  2. لصق أمر PowerShell تم نسخه تلقائيًا.

هذا الأمر يقوم بتنزيل وتشغيل حمولة خبيثة من خادم بعيد (165.227.148[.]68)، والتي بدورها تنزل برمجية LOSTKEYS بعد التأكد من عدم تشغيلها في بيئة افتراضية (مما يشير إلى محاولة التهرب من الاكتشاف).

قدرات البرمجية الخبيثة

تستطيع LOSTKEYS بعد تنشيطها:

  • جمع معلومات النظام.

  • رصد العمليات الجارية.

  • سرقة ملفات ذات امتدادات محددة مسبقًا.

يُعتقد أن البرمجية تُستخدم بشكل انتقائي، مما يؤكد طبيعة الهجمات المستهدفة بدقة.

اكتشافات إضافية

كشفت جوجل عن وجود عينات أقدم من LOSTKEYS تعود إلى ديسمبر ٢٠٢٣، كانت تتخفى في صورة ملفات مرتبطة بمنصة Maltego للتحقيقات مفتوحة المصدر. لا يزال من غير الواضح ما إذا كانت هذه العينات مرتبطة بـ COLDRIVER أم أن البرمجية أعيد استخدامها لاحقًا.

انتشار تقنية ClickFix

أصبحت ClickFix أداة شائعة بين القراصنة لنشر برمجيات خبيثة متعددة، مثل:

  • Lampion: أحصنة طروادة المصرفية.

  • Atomic Stealer: برمجية سرقة معلومات لنظام macOS.

هجمات Lampion

وفقًا لـ Palo Alto Networks Unit 42، تعتمد هذه الهجمات على:

  • رسائل تصيد تحتوي على ملفات ZIP بداخلها صفحات HTML توجّه الضحية إلى مواقع وهمية.

  • سلسلة تنفيذ معقدة تُقسّم إلى مراحل غير متتالية، مما يصعّب اكتشافها.

هجمات Atomic Stealer

تم دمج ClickFix مع تقنية EtherHiding، التي تستخدم عقود Binance الذكية (BSC) لإخفاء الحمولات الخبيثة. عند النقر على “أنا لست روبوت”، يتم تنزيل برمجية خبيثة عبر أوامر Terminal في أجهزة ماك.

كشف الباحث Badbyte عن اختراق ٢٨٠٠ موقع شرعي لاستضافة نافذة CAPTCHA المزيفة في هجوم أُطلق عليه اسم MacReaper.

وسوم
محمد وهبى
محمد وهبى
المقالات: 199

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة