حذّر باحثون في الأمن السيبراني من حملة جديدة تستغل متغيّراً من تكتيك الهندسة الاجتماعية المعروف باسم FileFix لتوزيع برمجية السرقة المعلوماتية StealC، بواسطة موقع تصيّد مُتقَن متعدد اللغات يُحاكي صفحات دعم شرعية (مثل صفحة أمان فيسبوك).
قال باحث شركة Acronis إليعاد كيمهي في تقرير مُشارك مع The Hacker News إن الحملة «تستخدم موقع تصيّد مقنعًا للغاية، متعدد اللغات، ويطبّق تقنيات مقاومة التحليل وتشويش متقدم لتفادي الاكتشاف».
سلسلة الهجوم وطريقة التسلّل
تبدأ الحملة عادةً برسالة بريد إلكتروني تُرسل للمستهدفين تُنذر بتعليق محتمل لحساباتهم على فيسبوك بذريعة انتهاك سياسات النشر، وتحثهم على استئناف القرار عبر رابط يؤدي إلى صفحة تصيّد. الصفحة، التي تبدو بأنها تقدم إمكانية الاطلاع على ملف PDF لقرار الانتهاك، تحث الضحية على النقر لنسخ مسار الملف ثم فتحه في مستعرض ملفات النظام.
ما يبدو كأمر مسار ملف عادي يخفي في الواقع أمرًا خبيثًا يُنسخ إلى الحافظة عند النقر على زر «نسخ»، لكن مصمّمة الحيلة تضيف مسافات زائدة في النهاية بحيث يظهر المسار كمسار عادي عند اللصقه في شريط عنوان مستعرض الملفات. الأمر المنسوخ هو في الواقع نص برنامج PowerShell متعدد المراحل يقوم بتحميل صورة تبدو بريئة من مستودع Bitbucket، ثم يفكّ تشفيرها إلى مرحلة تحميل لاحقة، وينفّذ محمّل مكتوب بلغة Go يقوم بفك الشيلكود الذي يطلق برمجية StealC.
آليات التمويه والتفادي
صفحة التصيّد ليست مشروحة فحسب، بل تعتمد أيضًا على شيفرة خردة وتقسيم المحتوى بهدف عرقلة جهود المحلّلين. الاعتماد على مستودع شيفرة مشروع شرعي مثل Bitbucket لاحتواء الصور الخبيثة يساعد المهاجمين على تجاوز آليات الكشف التي قد تعتبر طلبات التحميل من مصادر غير موثوقة مريبة.
تختلف FileFix عن تقنية ClickFix التي وثّقها باحثون سابقًا بأنها تتجنّب حاجة الضحية لفتح مربع تشغيل الويندوز Run ولصق أمر منسوخ مسبقًا؛ FileFix تستغل ميزة رفع الملفات في المتصفح لخداع المستخدم لينسخ ويُلصق الأمر في شريط عنوان مستعرض الملفات، فتُنفّذ الأوامر محليًا دون أن تبدو العملية مريبة للوهلة الأولى.
لماذا يُعدّ FileFix أكثر خطورة وأين يختلف عن ClickFix
تقدّم FileFix ميزة هامة تقضي بأنها تستغل وظيفة شائعة في المتصفح بدلًا من استدعاء مربع Run (أو تطبيق الطرفية على macOS)، ما يجعلها أقل اعتمادًا على إجراءات المستخدم المعقّدة. ومع ذلك، توضح Acronis أن هذه النقطة قد تجعل أثر الهجوم أكثر وضوحًا أثناء التحقيق الجنائي أو أمام منتجات الحماية، لأن التنفيذ يحدث عبر المتصفّح المستخدم من الضحية، وهو عنصر قد يبرز في السجلات أكثر من عمليات نشأت عبر run dialog.
أوضح تقرير Acronis أن الجهة المهاجمة استثمرت جهدًا كبيرًا في تحسين الحملة تقنياً وتصميم بنية تحتية متقنة لزيادة قدرة التملّص والأثر.
أدوات وملاحظات رصدية أخرى
في سياق ذي صلة، وثّقت شركة Doppel حملة أخرى تستخدم بوابات دعم مزيفة وصفحات خطأ Cloudflare CAPTCHA مع تقنيات اختطاف الحافظة (clipboard hijacking) — وهي أساليب ClickFix — لخداع الضحايا على تشغيل أوامر PowerShell تُحمّل وتنفّذ سكربت AutoHotkey. بحسب باحث Doppel آرش جاوا، تُستخدم سكربتات AutoHotkey فيما أصبح يُطلق عليه منقّلات وخدع لتوزيع أدوات مثل AnyDesk وTeamViewer وبرمجيات سرقة المعلومات وبرامج القصّاصة (clipper) التي تستهدف محافظ العملات الرقمية.
كما رصدت Doppel متغيّرات تُوجِّه الضحايا إلى تنفيذ أوامر MSHTA تشير إلى دومينات مقلّدة لخدمات جوجل بهدف جلب سكربتات خبيثة وتشغيلها عن بُعد.
كلمة أخيرة: توضح الحوادث المستمرة كيف أن المهاجمين يدمجون حيل الهندسة الاجتماعية مع استغلال خواص وظيفية متاحة في المتصفحات وأنظمة التشغيل، ما يستدعي وعيًا متزايدًا لدى المستخدمين وإجراءات دفاعية تقنيّة مثل مراقبة سلوك المتصفح والتحقق من محتوى الحافظة قبل السماح بتنفيذ أوامر محلية.
