حذّر باحثون في الأمن السيبراني من حملة خبيثة جديدة تُعرف باسم “JackFix”، تستغل مزيجاً من مواقع إباحية مزيفة وهجمات ClickFix لخداع المستخدمين وتشغيل أوامر ضارة على أجهزتهم، تحت غطاء “تحديث أمني عاجل” لنظام ويندوز.
كيف تعمل الحملة: التلاعب النفسي والتنفيذ الذاتي
تعتمد JackFix على مواقع تحاكي منصات إباحية شهيرة مثل xHamster وPornHub، يتم الوصول إليها عبر إعلانات خبيثة (malvertising) أو وسائل تصيّد اجتماعي. بمجرد دخول المستخدم إلى الموقع، تظهر نافذة تحديث وهمية لنظام ويندوز تغطي الشاشة بالكامل، وتطلب من المستخدم فتح نافذة “تشغيل” (Run) ولصق أمر معين ثم الضغط على Enter، مما يؤدي إلى تنفيذ سلسلة من الأوامر الخبيثة.
النافذة مصممة باستخدام HTML وJavaScript، وتبدو مقنعة للغاية، حيث تحاكي شاشة التحديث الزرقاء الخاصة بويندوز. كما تعمد إلى تعطيل مفاتيح مثل Escape وF11 وF5 وF12 لمنع المستخدم من الخروج من الشاشة، رغم أن خللاً في الشيفرة يسمح أحياناً بتجاوز هذا القيد.
سلسلة الهجوم: من MSHTA إلى PowerShell إلى برمجيات التجسس
يبدأ الهجوم بتنفيذ حمولة MSHTA عبر ملف JavaScript يستخدم الأمر الشرعي mshta.exe لتشغيل سكربت PowerShell، والذي بدوره يتصل بخادم خارجي لتحميل سكربت PowerShell إضافي. هذا السكربت مصمم ليعمل فقط عند استدعائه عبر أوامر irm أو iwr، مما يضيف طبقة من التمويه ويصعّب تحليله.
السكربت الثاني يحتوي على شيفرة مشوشة، ويطلب صلاحيات المسؤول (Admin) عبر UAC، ويستمر في طلب الإذن حتى يمنحه المستخدم. بعد الحصول على الصلاحيات، يقوم بإسقاط عدة حمولات خبيثة، تشمل:
– Rhadamanthys Stealer
– Vidar Stealer 2.0
– RedLine Stealer
– Amadey
– أدوات تحميل (Loaders) وأحصنة طروادة للوصول عن بُعد (RATs)
تُوصف هذه الحملة بأنها “أكثر الأمثلة تطرفاً على أسلوب الرش والدعاء” (spray and pray)، حيث يتم تحميل ما يصل إلى ثمانية برمجيات خبيثة دفعة واحدة، على أمل أن ينجح أحدها في إصابة الجهاز وسرقة كلمات المرور، محافظ العملات الرقمية، وبيانات حساسة أخرى.
تقنيات متقدمة: الإخفاء داخل الصور وتجاوز أدوات الحماية
في تطور موازٍ، كشفت شركة Huntress عن سلسلة هجمات تستخدم تقنية الإخفاء داخل الصور (steganography)، حيث تُخفى الحمولة النهائية داخل صورة PNG مشفرة، ويتم استخراجها وتنفيذها داخل الذاكرة باستخدام أداة تُعرف باسم Stego Loader. تُستخدم هذه الطريقة لنشر برمجيات مثل Lumma وRhadamanthys دون أن تكتشفها أدوات الحماية التقليدية.
كما لوحظ استخدام نطاقات مثل securitysettings[.]live وxoiiasdpsdoasdpojas[.]com لاستضافة الشيفرات الخبيثة، وكلاهما يشير إلى نفس عنوان IP، مما يشير إلى ارتباط الحملتين ببعضهما.
توصيات الحماية: التوعية والتقييد التقني
نظراً لأن هجمات ClickFix تعتمد على خداع المستخدم لتنفيذ الأوامر بنفسه، فإن التوعية تلعب دوراً محورياً في الوقاية. توصي الجهات الأمنية بما يلي:
– تدريب الموظفين على التحقق من مصداقية التحديثات وعدم تنفيذ أوامر مجهولة.
– تعطيل نافذة “تشغيل” (Run) عبر إعدادات Group Policy أو سجل النظام (Registry).
– مراقبة استخدام mshta.exe وPowerShell في بيئات العمل.
– تقييد صلاحيات المستخدمين ومنعهم من الحصول على صلاحيات المسؤول دون مراجعة.
