تحديث مزيف لويندوز يثبت برمجية خبيثة على حواسيب الضحايا

كشف تقرير أمني حديث عن تطور مقلق في عالم الهجمات الإلكترونية، يتمثل في ظهور أساليب جديدة لاستغلال المستخدمين من خلال ما يعرف بهجمات “ClickFix”. تعتمد هذه الهجمات على الهندسة الاجتماعية المتقنة لخداع الضحايا وحملهم على تنفيذ أوامر ضارة على أجهزتهم، مستغلةً بذلك ثقتهم في واجهات مألوفة مثل شاشة تحديث نظام التشغيل ويندوز. هذا التطور يمثل تهديدًا متزايدًا للأفراد والمؤسسات على حد سواء، ويتطلب فهمًا دقيقًا لآليات عمل هذه الهجمات وكيفية التصدي لها.

ما هي هجمات ClickFix وكيف تعمل؟

هجمات ClickFix ليست جديدة تمامًا، ولكنها تشهد تطورًا مستمرًا في أساليبها. تقوم هذه الهجمات ببساطة على خداع المستخدم ليقوم بنسخ ولصق أوامر ضارة في نافذة التشغيل (Run) أو PowerShell، ظنًا منه أنه يكمل عملية تحديث أمني ضرورية أو إجراء تحقق للنظام. الفعالية العالية وسهولة التنفيذ جعلت هذه الطريقة شائعة بين المهاجمين الإلكترونيين بمختلف مستوياتهم، مما دفعهم إلى تطويرها باستمرار لتصبح أكثر خداعًا وتعقيدًا.

منذ بداية شهر أكتوبر الماضي، لاحظ باحثو الأمن السيبراني استخدام منفذي هجمات ClickFix لسيناريوهين رئيسيين. الأول، وهو الأكثر شيوعًا، يتضمن عرض صفحة ويب مزيفة تحاكي تحديثًا أمنيًا عاجلاً من مايكروسوفت. والثاني يعتمد على خدعة “التحقق البشري”، وهي تقنية تستخدم بشكل متزايد في عمليات التصيد الاحتيالي.

الإخفاء في الصورة: تقنية جديدة لتعزيز الخبث

ما يميز النسخ الحديثة من هجمات ClickFix هو استخدام تقنية متقدمة تُعرف باسم “الإخفاء في الصورة” (Steganography). بدلاً من إخفاء البرمجيات الخبيثة بشكل مباشر في الكود، يقوم المهاجمون الآن بإخفائها داخل صور رقمية، تحديدًا ملفات PNG. لا يقتصر الأمر على إلحاق الشيفرة الخبيثة بالصورة، بل يتم ترميزها داخل بيانات البكسلات نفسها باستخدام قنوات لونية محددة. هذا يجعل اكتشاف البرمجيات الخبيثة أكثر صعوبة، حيث تبدو الصورة طبيعية تمامًا للعين المجردة.

سلسلة الإصابة: من mshta.exe إلى LummaC2 و Rhadamanthys

تبدأ عملية تحميل البرمجيات الضارة عادةً باستخدام أداة “mshta.exe” المدمجة في نظام التشغيل ويندوز. هذه الأداة مصممة لتشغيل كود JavaScript، ولكن في هذه الحالة، يتم استغلالها لتشغيل كود ضار. تتضمن سلسلة الإصابة مراحل متعددة، بما في ذلك تنفيذ أكواد PowerShell وتحميل تجميع (.NET Assembly) يُعرف باسم “Stego Loader”. هذا الـ Loader هو المسؤول عن إعادة بناء الحمولة الخبيثة المشفرة والمضمنة داخل صورة PNG.

يحتوي ملف Stego Loader على موارد مشفرة باستخدام خوارزمية AES، وهي في الواقع صورة مموهة تتضمن شيفرة تنفيذية (Shellcode) تتم معالجتها بواسطة كود مخصص بلغة C#. يستخدم المهاجمون أيضًا تقنية “ctrampoline” للتمويه، حيث تبدأ وظيفة نقطة الدخول في الملف باستدعاء سلسلة من 10,000 وظيفة فارغة، مما يعقد تحليل الكود ويُربك برامج الحماية.

بعد فك التشفير، يتم استخدام أداة “Donut” لتعبئة الشيفرة التنفيذية، مما يسمح بتنفيذ أنواع مختلفة من الملفات داخل الذاكرة. في النهاية، يتم تحميل برمجيات خبيثة من نوع “LummaC2” و “Rhadamanthys”، وهما من أشهر برامج سرقة المعلومات (Infostealers) المنتشرة حاليًا. هذه البرامج مصممة لسرقة بيانات حساسة مثل كلمات المرور، معلومات بطاقات الائتمان، وبيانات الاعتماد الأخرى.

حملة “Operation Endgame” وتأثيرها على الهجمات

في نوفمبر الماضي، أطلقت السلطات الأمنية حملة واسعة النطاق تحت اسم “Operation Endgame” بهدف تعطيل البنية التحتية المستخدمة في نشر هجمات Rhadamanthys. نجحت هذه الحملة في تعطيل بعض الأجزاء الرئيسية من الهجوم، مما أدى إلى توقف تحميل الحمولة الخبيثة من بعض النطاقات المرتبطة بشاشة تحديث ويندوز الزائفة.

ومع ذلك، لا يزال نطاق الإنترنت المرتبط بشاشة التحديث الزائفة نشطًا، مما يشير إلى أن المهاجمين قد يكونون قادرين على إعادة تفعيل الهجوم باستخدام بنية تحتية جديدة. هذا يؤكد على أهمية اليقظة المستمرة واتخاذ الإجراءات الوقائية اللازمة.

الهجمات الإلكترونية ClickFix: توصيات الحماية

لمواجهة خطر هجمات ClickFix، يوصي خبراء الأمن السيبراني باتخاذ الإجراءات التالية:

• تعطيل نافذة التشغيل (Run): يمكن تعطيل نافذة التشغيل في ويندوز لمنع المستخدمين من تنفيذ أوامر ضارة عن طريق الخطأ.
• مراقبة سلوك النظام: يجب مراقبة أي سلوك غير اعتيادي، مثل تشغيل mshta.exe أو PowerShell من خلال عملية explorer.exe.
• فحص سجل النظام (Registry): يجب على المحللين الأمنيين فحص سجل “RunMRU” في سجل النظام لتحديد ما إذا كان المستخدم قد أدخل أوامر يدوية في نافذة التشغيل.
• زيادة الوعي الأمني: توعية المستخدمين بمخاطر الهندسة الاجتماعية وأهمية عدم الثقة في الرسائل أو المواقع الإلكترونية غير المعروفة.
• تحديث برامج الحماية: التأكد من أن برامج مكافحة الفيروسات وجدران الحماية محدثة بأحدث التعريفات والتصحيحات الأمنية.

الخلاصة

تعتبر هجمات ClickFix مثالًا واضحًا على التطور المستمر للتهديدات السيبرانية. إن استخدام تقنيات متقدمة مثل الإخفاء في الصورة والتمويه يجعل اكتشاف هذه الهجمات أكثر صعوبة، مما يتطلب من المستخدمين والمؤسسات اعتماد إجراءات حماية متقدمة وزيادة الوعي بالأخطار الرقمية المتجددة. من خلال فهم آليات عمل هذه الهجمات واتخاذ الإجراءات الوقائية اللازمة، يمكننا تقليل خطر الوقوع ضحية لعمليات الاحتيال وسرقة البيانات. الاستثمار في الأمن السيبراني ليس مجرد خيار، بل هو ضرورة حتمية في عالمنا الرقمي المتصل.