كشفت شركة Guardio Labs للأمن السيبراني عن تفاصيل جديدة لحملة خبيثة تعرف باسم “ClickFix”، والتي استطاعت خلال العام الماضي أن تتفوق بشكل مذهل على واحدة من أبرز الخدع الإلكترونية السابقة، وهي “تحديث المتصفح الزائف”، بفضل مزيج معقد من أساليب الانتشار والتمويه وسرد القصة الإقناعي.
وأوضح الباحث الأمني شاكيد تشين في تقرير نشرته “The Hacker News” أن “ClickFix”، على غرار سلالة فيروسية في العالم الحقيقي، تمكنت من التفوق بسرعة والقضاء التام على الهجمات القديمة عبر إزالة الحاجة إلى تنزيل الملفات، والاعتماد على تكتيكات هندسة اجتماعية أكثر ذكاء، مع استغلال بنى تحتية موثوقة لنشر الهجوم، ما أدى إلى موجة واسعة من الإصابات تراوحت بين الهجمات العشوائية إلى حملات تصيد دقيقة الاستهداف.
كيف تعمل خدعة ClickFix؟
يعتمد تكتيك “ClickFix” على خداع الضحايا المحتملين لإصابة أجهزتهم بأنفسهم، تحت غطاء حل مشكلة مزعومة أو تخطي تحقق CAPTCHA زائف. وقد تم رصده لأول مرة في أوائل عام 2024.
في هذه الهجمات، تُستخدم وسائط متعددة كنقاط دخول، مثل رسائل التصيد الإلكتروني، والتنزيلات غير المقصودة عبر التصفح، والإعلانات الخبيثة، وتسميم نتائج محركات البحث (SEO poisoning)، لتوجيه الضحايا إلى صفحات مزيفة تعرض رسائل خطأ وهمية.
وتتمثل الخدعة الأساسية في دفع المستخدم إلى اتباع خطوات محددة تنتهي بنسخ أمر خبيث إلى الحافظة (Clipboard) ليتم تنفيذه لاحقًا في نافذة “تشغيل” في نظام ويندوز، أو في تطبيق “الطرفية” (Terminal) في نظام macOS، دون أن يدرك المستخدم أن ما قام به هو تثبيت برمجية ضارة.
برمجيات ضارة متعددة المراحل وعابرة للمنصات
ما إن يتم تنفيذ الأمر المشبوه، حتى تبدأ سلسلة متعددة المراحل من تنفيذ التعليمات البرمجية، تؤدي في النهاية إلى تنزيل وتثبيت أنواع متعددة من البرمجيات الخبيثة، من بينها أدوات لسرقة البيانات، وأحصنة طروادة للوصول عن بُعد، ومُحملات برمجية، مما يكشف عن مدى تنوع التهديد.
ووصفت Guardio هذا التكتيك بأنه بلغ من الخطورة ما يمكن تسميته بـ “نهاية كابوتشا” أو CAPTCHAgeddon، حيث تم استخدامه من قبل مجرمي الإنترنت وكذلك جهات تهديد مدعومة من دول في عشرات الحملات خلال فترة قصيرة.
ClickFix: الوريث الخفي لـ ClearFake
تُعد ClickFix تطورًا متخفيًا من حملة ClearFake، التي كانت تعتمد على مواقع ووردبريس مخترقة لعرض نوافذ تحديث مزيفة للمتصفح، تؤدي بدورها إلى تنزيل برمجيات سرقة. وقد تبنت ClearFake لاحقًا تقنيات متقدمة للتمويه مثل EtherHiding لإخفاء الحمولة التالية عبر عقود Binance الذكية (BSC).
وتؤكد Guardio أن النجاح الذي حققته ClickFix يعود إلى التحسين المستمر في قنوات الانتشار، وتنوع رسائل الطُعم، وتطوير وسائل التخفي، حتى أنها في النهاية أطاحت بـ ClearFake كخطر رئيسي.
وأشار تشين إلى أن الرسائل التحفيزية في البداية كانت عامة، لكنها سرعان ما تطورت لتصبح أكثر إقناعًا بإضافة عناصر استعجال أو إثارة للريبة، ما زاد من معدلات استجابة الضحايا عبر استغلال الضغط النفسي الفطري لديهم.
تقنيات تمويه متقدمة وتلاعب بالبنى التحتية الموثوقة
من أبرز تكتيكات ClickFix الحديثة استخدام Google Scripts لاستضافة صفحات CAPTCHA المزيفة، مستغلة الثقة العالية في نطاقات Google، وكذلك تضمين الحمولة الخبيثة داخل ملفات تبدو شرعية .
وأكد تشين أن “هذه القائمة المروعة من التقنيات – من التمويه، والتحميل الديناميكي، والملفات المشابهة للشرعية، والتعامل العابر للمنصات، وتسليم الحمولة عبر جهات خارجية، إلى إساءة استخدام مضيفين موثوقين مثل Google – تكشف مدى تطور الجهات المهاجمة وتكيّفها المستمر لتفادي الاكتشاف”.
واختتم بقوله إن “هذه الحملات لا تعكس فقط براعة في التصيد والاحتيال، بل استثمارًا تقنيًا كبيرًا لضمان فعالية الهجمات واستمراريتها رغم الإجراءات الأمنية المضادة”.
