كشفت مايكروسوفت النقاب عن حملة تصيد إلكتروني مستمرة تستهدف قطاع الضيافة عبر انتحال هوية وكالة السفر عبر الإنترنت Booking.com، باستخدام تقنية هندسة اجتماعية تُعرف باسم ClickFix لنشر برامج ضارة تسرق بيانات الاعتماد.
أوضحت الشركة العملاقة أن هذه الأنشطة بدأت في ديسمبر 2024 وتهدف في النهاية إلى تنفيذ عمليات احتيال مالي وسرقة. وتتبع مايكروسوفت هذه الحملة تحت اسم Storm-1865.
وقالت مايكروسوفت في تقرير شاركته مع موقع The Hacker News: “هذا الهجوم يستهدف بشكل خاص أفرادًا في مؤسسات الضيافة في أمريكا الشمالية وأوقيانوسيا وجنوب وجنوب شرق آسيا، بالإضافة إلى أوروبا الشمالية والجنوبية والشرقية والغربية، ممن يُحتمل أن يتعاملوا مع Booking.com، حيث يتم إرسال رسائل بريدية مزيفة تدعي أنها صادرة من الوكالة.”
ما هي تقنية ClickFix؟
أصبحت تقنية ClickFix شائعة في الأشهر الأخيرة، حيث تخدع المستخدمين لتنفيذ برامج ضارة تحت ذريعة إصلاح خطأ مزعوم (غير موجود فعليًا) عن طريق نسخ ولصق وتنفيذ تعليمات خادعة تُفعّل عملية الإصابة. تم اكتشاف هذه التقنية لأول مرة في أكتوبر 2023.
تبدأ سلسلة الهجوم بإرسال Storm-1865 بريدًا إلكترونيًا ضارًا إلى فرد مستهدف يتحدث عن تقييم سلبي مزعوم من عميل على Booking.com، ويطلب منه تقديم “تعليقات”. تحتوي الرسالة أيضًا على رابط أو مرفق PDF يتضمن رابطًا يبدو وكأنه يُوجه المستلمين إلى موقع الحجز.
كيف يتم تنفيذ الهجوم؟
عند النقر على الرابط، يتم توجيه الضحية إلى صفحة تحقق مزيفة من CAPTCHA، مصممة لتقليد صفحة Booking.com الشرعية. الهدف من ذلك هو إعطاء إحساس زائف بالأمان وزيادة احتمالية نجاح الاختراق.
وقالت مايكروسوفت: “صفحة CAPTCHA المزيفة هي المكان الذي تستخدم فيه التقنية الهندسية الاجتماعية ClickFix لتنزيل الحمولة الضارة. تُعلم هذه التقنية المستخدم باستخدام اختصار لوحة المفاتيح لفتح نافذة تشغيل Windows، ثم لصق وتنفيذ أمر يتم إضافته تلقائيًا إلى الحافظة.”
باختصار، يستخدم هذا الأمر ملف mshta.exe الشرعي لإسقاط الحمولة الضارة التالية، والتي تتضمن عائلات متنوعة من البرامج الضارة مثل XWorm، وLumma Stealer، وVenomRAT، وAsyncRAT، وDanabot، وNetSupport RAT.
تطور تكتيكات Storm-1865
أشارت مايكروسوفت إلى أنها لاحظت سابقًا استهداف Storm-1865 لمشتري منصات التجارة الإلكترونية عبر رسائل تصيد تؤدي إلى صفحات دفع احتيالية. وبالتالي، فإن استخدام تقنية ClickFix يُظهر تطورًا تكتيكيًا يهدف إلى تجاوز الإجراءات الأمنية التقليدية ضد التصيد والبرامج الضارة.
وأضافت: “تهديد Storm-1865 يمثل مجموعة من الأنشطة التي تنفذ حملات تصيد تؤدي إلى سرقة بيانات الدفع وفرض رسوم احتيالية. هذه الحملات مستمرة بزيادة في الحجم منذ أوائل 2023 وتشمل رسائل يتم إرسالها عبر منصات البائعين، مثل وكالات السفر عبر الإنترنت ومنصات التجارة الإلكترونية، بالإضافة إلى خدمات البريد الإلكتروني مثل Gmail أو iCloud Mail.”
انتشار تقنية ClickFix
تمثل Storm-1865 واحدة من العديد من الحملات التي تبنت تقنية ClickFix كوسيلة لتوزيع البرامج الضارة. وقد أثبتت هذه التقنية فعاليتها لدرجة أن مجموعات تابعة لدول مثل روسيا وإيران، مثل APT28 وMuddyWater، قد اعتمدتها أيضًا لاستهداف ضحاياها.
وقالت شركة Group-IB في تقرير مستقل: “تعتمد هذه الطريقة على سلوكيات البشر: من خلال تقديم ‘حل’ مقنع لمشكلة متصورة، ينقل المهاجمون عبء التنفيذ إلى المستخدم، مما يتجاوز العديد من الدفاعات التلقائية.”
حملات أخرى تستخدم ClickFix
من بين الحملات الأخرى التي تم توثيقها:
- استخدام تحقيقات CAPTCHA مزيفة لبدء عملية تنفيذ متعددة المراحل عبر PowerShell، تُسفر عن تسليم برامج سرقة المعلومات مثل Lumma وVidar.
- استخدام تحديات Google reCAPTCHA مزيفة من قبل مجموعة تهديد تُعرف باسم Blind Eagle لنشر البرامج الضارة.
- استخدام روابط تأكيد حجز مزيفة لإعادة توجيه المستخدمين إلى صفحات تحقق CAPTCHA تؤدي إلى Lumma Stealer.
- استخدام مواقع مزيفة تحمل طابع Windows لإعادة توجيه المستخدمين إلى صفحات تحقق CAPTCHA تؤدي إلى Lumma Stealer.
إساءة استخدام منصات موثوقة
أبرزت حملة أخرى كيفية إساءة استخدام المهاجمين لثقة المنصات الشهيرة مثل GitHub لنشر البرامج الضارة. حيث تم اكتشاف مستودعات مزيفة على GitHub تقدم محتوى ذكاء اصطناعي (AI) لتسليم برامج سرقة المعلومات عبر أداة تُعرف باسم SmartLoader.
وقالت شركة Trend Micro في تحليل نُشر الأسبوع الماضي: “هذه المستودعات الضارة مُقنعة على أنها أدوات غير ضارة، بما في ذلك برامج الغش في الألعاب، والبرامج المقرصنة، وأدوات العملات الرقمية. تجذب الحملة الضحايا بوعود بالحصول على وظائف غير مصرح بها مجانًا أو بشكل غير قانوني، مما يدفعهم لتنزيل ملفات ZIP ضارة.”
حملات تصيد أخرى
في سياق متصل، كشفت شركة Trustwave عن حملة تصيد عبر البريد الإلكتروني تستخدم فواتير وهمية لتوزيع نسخة محدثة من برنامج سرقة المعلومات StrelaStealer، الذي يُعتقد أن مجموعة تهديد واحدة تُعرف باسم Hive0145 تقف وراءه.
وقالت الشركة: “تتضمن عينات StrelaStealer تقنيات إخفاء متعددة الطبقات وتسوية تدفق التعليمات البرمجية لجعل تحليلها أكثر تعقيدًا. وقد تم الإبلاغ عن أن مجموعة التهديد طورت أداة تشفير خاصة تُعرف باسم ‘Stellar Loader’ لاستخدامها مع StrelaStealer.”
