يكشف باحثو الأمن السيبراني عن تفاصيل حملة جديدة تستغل أسلوب ClickFix عبر دمج اختبارات CAPTCHA مزيفة مع سيناريو موقع من مايكروسوفت (App-V) لتوزيع برمجية خبيثة تُعرف باسم Amatera Stealer. هذه الحملة تمثل نقلة نوعية في استغلال أدوات النظام الموثوقة لإخفاء النشاط الضار، مما يزيد من صعوبة اكتشافها.
كيف يعمل الهجوم الجديد
ينطلق الهجوم من نافذة تحقق مزيفة تطلب من المستخدمين إدخال أمر خبيث في مربع التشغيل (Run). لكن بدلاً من استدعاء PowerShell مباشرة، يستغل المهاجمون ملف SyncAppvPublishingServer.vbs المرتبط بـ App-V لتحميل وتنفيذ مُحمّل في الذاكرة عبر أداة wscript.exe. هذا الأسلوب يحوّل الملف إلى أداة “العيش من موارد النظام” (LOLBin)، مما يسمح بتجاوز القيود الدفاعية والاعتماد على مكون موثوق من ويندوز.
الملف الخبيث يجري فحوصات للتأكد من عدم تشغيله في بيئات معزولة، ثم يستعين بملف تقويم عام على خدمة Google Calendar للحصول على بيانات التهيئة، وهو ما يتيح للمهاجمين تغيير البنية التحتية بسرعة دون الحاجة لإعادة نشر المراحل السابقة. لاحقاً، يتم تحميل مراحل إضافية تشمل سكربتات PowerShell مشفرة ومضغوطة داخل صور PNG، ليتم فكها وتشغيلها في الذاكرة وصولاً إلى إطلاق برمجية Amatera Stealer.
تطور أسلوب ClickFix
أصبح ClickFix واحداً من أكثر أساليب الوصول الأولي انتشاراً، حيث شكّل نحو 47% من الهجمات التي رصدتها مايكروسوفت خلال العام الماضي. وقد استهدفت الحملات الأخيرة صناع المحتوى على وسائل التواصل الاجتماعي عبر إيهامهم بالحصول على شارات تحقق مجانية، ودفعهم لنسخ رموز مصادقة من ملفات تعريف الارتباط الخاصة بهم، مما يؤدي إلى الاستيلاء على الحسابات.
كما ظهرت نسخ جديدة مثل JackFix و CrashFix و GlitchFix، حيث يقوم الأخير بإحداث أعطال وهمية في صفحات الويب لإقناع المستخدمين بتنفيذ أوامر خبيثة. هذه الأساليب يتم تسويقها كخدمات “برمجيات خبيثة كخدمة” (MaaS) على منتديات القرصنة بأسعار تتراوح بين 200 و1500 دولار شهرياً.
استغلال البنية التحتية الموثوقة
من أبرز ما يميز هذه الحملات هو اعتمادها على خدمات موثوقة مثل jsDelivr CDN و Google Calendar وواجهات Cloudflare، إضافة إلى تقنيات مثل EtherHiding التي تستعين بالعقود الذكية على شبكة Binance Smart Chain لإخفاء التعليمات البرمجية. هذا الاستخدام للبنية التحتية الشرعية يجعل من الصعب على أنظمة الدفاع اعتبار السلوك ضاراً، إذ يتم تنفيذه عبر مكونات موثوقة من النظام أو خدمات ويب مشهورة.
التحديات الدفاعية
يشير خبراء الأمن إلى أن الدفاع ضد ClickFix يمثل تحدياً فريداً، لأنه يعتمد على أفعال المستخدم الشرعية ويستغل أدوات النظام الموثوقة. هذا يعني أن الهجوم يبدو طبيعياً من منظور أنظمة الحماية الطرفية، مما يزيد من صعوبة اكتشافه. كما أن اعتماد المهاجمين على سلاسل تنفيذ معقدة ومتعددة المراحل يجعل التحليل الآلي أو اليدوي أكثر صعوبة.
