حدّث مجرمو الإنترنت برمجية ClickFix الخبيثة لتظهر كأنها تحديث رسمي من ويندوز، وذلك بهدف خداع المستخدمين ودفعهم إلى لصق أمر ضار داخل نافذة Run.
وتعتمد النسخة الجديدة على خدعة متقدمة تبدأ باستخدام صورة PNG تحتوي على بيانات مخفية تُفعّل أدوات تجسس قادرة على سرقة كلمات المرور وبيانات الحسابات البنكية ومحافظ العملات الرقمية وغير ذلك.
كشف باحثو Huntress عن هذا الإصدار الجديد بعد ملاحظة أنه يعرض صفحة متصفح بملء الشاشة تُحاكي تمامًا نافذة تحديث ويندوز، مع شريط تقدّم يشير إلى 95% من “تحديث أمني خطير”.
وتنتشر البرمجية غالبًا في مواقع بالغين مزيفة تُقلّد الشهيرة منها، حيث تظهر على شكل إعلان أو نافذة تحقق من العمر. وبمجرّد الضغط عليها، تظهر شاشة التحديث الوهمية.
تطلُب البرمجية من المستخدم الضغط على Windows + R ولصق أمر سبق نسخه تلقائيًا، مما يمنح القراصنة وصولًا إداريًا إلى الجهاز.
وبعد التنفيذ، يقوم الأمر بتشغيل أداة mshta المدمجة في ويندوز باستخدام رابط خبيث يجلب الحمولة الضارة من عنوان مشفّر بنظام hex. كما يستخدم PowerShell بأكواد مشوشة لتعطيل أدوات الحماية ومنع كشف الهجوم.
بعد ذلك، تفك البرمجية تشفير صورة PNG وتستخرج أوامر خبيثة مخفية داخل بيانات بكسلاتها، لتقوم بحقنها في عمليات تعمل بالفعل على الجهاز. ثم يجري نشر أدوات تجسس مثل Rhadamanthys وLummaC2، والتي تقوم بجمع كلمات المرور والبيانات الشخصية وحركة لوحة المفاتيح وترسلها إلى خوادم خارجية.
وبيّن تقرير Huntress أن هذا الإصدار ينتشر منذ بداية أكتوبر، وأن العديد من المواقع ما زالت تستضيف نافذة التحديث المزيفة بدرجات متفاوتة من التعقيد.
ويلجأ القراصنة عادة إلى إخفاء التعليمات البرمجية داخل صور تبدو بريئة أو داخل أكواد مليئة بالعشوائية لإرباك الباحثين الأمنيين وإخفاء نواياهم.
ويُعد هذا الإصدار من ClickFix واحدًا من أكثر أساليب سرقة البيانات ذكاءً وخطورة. ولذا يُنصح المستخدمون بتجنب الضغط على الإعلانات أو تشغيل أي أوامر مجهولة، إضافة إلى التحقق دائمًا من روابط الصفحات قبل التفاعل معها.
Leave a Reply