الهندسة الاجتماعية
منذ حوالي عام، نشرنا مقالاً عن تقنية ClickFix، التي كانت تشهد رواجًا متزايدًا بين المهاجمين. ويتلخص جوهر الهجمات التي تستخدم ClickFix في إقناع الضحية، تحت ذرائع مختلفة، بتشغيل أمر برمجي خبيث على أجهزة الكمبيوتر الخاصة بهم. وهذا يعني، من منظور حلول الأمن الإلكتروني، أن هذا الأمر يُنفذ باسم المستخدم النشط وبكامل امتيازاته.
في بدايات استخدام هذه التقنية، حاول مجرمو الإنترنت إقناع الضحايا بضرورة تنفيذ أمر برمجى لإصلاح مشكلة ما أو لاجتياز اختبار كلمة التحقق، وكان هذا الأمر الخبيث في الغالبية العظمى من الحالات عبارة عن برنامج نصي PowerShell. ومع ذلك، ابتكر المهاجمون منذ ذلك الحين عددًا من الحيل الجديدة التي يجب تحذير المستخدمين منها، بالإضافة إلى مجموعة من الوسائل الجديدة لإيصال البرامج الضارة، والتي تستحق مراقبتها أيضًا.
استخدام mshta.exe
نشر خبراء Microsoft العام الماضي تقريرًا عن هجمات إلكترونية استهدفت أصحاب الفنادق المتعاملين مع موقع Booking.com. وقد أرسل المهاجمون إخطارات مزيفة من الخدمة، أو رسائل بريد إلكتروني تنتحل صفة نزلاء يوجهون الانتباه إلى تقييم ما. وفي كلتا الحالتين، تضمنت رسالة البريد الإلكتروني رابطًا لموقع ويب يقلد Booking.com، يطلب من الضحية إثبات أنه ليست روبوتًا عبر تشغيل رمز من خلال قائمة التشغيل.
يوجد اختلافان جوهريان بين هذا الهجوم وهجوم ClickFix. أولاً، لا يُطلب من المستخدم نسخ النص البرمجي (حيث إن النصوص البرمجية الطويلة قد تثير الريبة أحيانًا). ويتم نسخها إلى المخزن المؤقت للتبادل بواسطة الموقع الضار – على الأرجح عندما ينقر المستخدم على خانة اختيار تحاكي آلية reCAPTCHA. ثانيًا، يستدعي النص الخبيث الأداة المساعدة mshta.exe المشروعة، المخصصة لتشغيل التطبيقات المكتوبة بلغة HTML. وتتصل بدورها بخادم المهاجمين وتنفذ الحمولة الضارة.
فيديو على TikTok وPowerShell بامتيازات المسؤول
نشر موقع BleepingComputer مقالًا في أكتوبر 2025 عن حملة لنشر برامج ضارة عبر تعليمات في في مقاطع فيديو TikTok. وتحاكي مقاطع الفيديو نفسها دروس فيديو تعليمية عن كيفية تفعيل البرامج المدفوعة مجانًا. وتتلخص النصيحة التي تقدمها هذه المقاطع في الحاجة إلى تشغيل PowerShell مع حقوق المسؤول ثم تنفيذ الأمر iex (irm {address}). هنا، يقوم الأمر irm بتنزيل برنامج نصي ضار من خادم يتحكم فيه المهاجمون، ويقوم الأمر iex (استدعاء التعبير) بتشغيله. ويقوم البرنامج النصي بدوره بتنزيل برامج ضارة لسرقة المعلومات على كمبيوتر الضحية.
استخدام بروتوكول Finger
هناك نوع آخر غير معتاد من هجوم ClickFix يستخدم خدعة كلمة التحقق (captcha) المألوفة، لكن البرنامج النصي الضار يستخدم بروتوكول Finger القديم. وتتيح الأداة المساعدة التي تحمل الاسم نفسه لأي شخص طلب بيانات عن مستخدم معين على خادم بعيد. ونادرًا ما يُستخدم البروتوكول في الوقت الحاضر، إلا أنه لا يزال مدعومًا من قبل Windows وmacOS وعدد من الأنظمة المستندة إلى Linux.
يتم إقناع المستخدم بفتح واجهة سطر الأوامر واستخدامها لتشغيل أمر ينشئ اتصالاً عبر بروتوكول Finger (باستخدام منفذ TCP 79) مع خادم المهاجمين. وينقل البروتوكول المعلومات النصية فقط، إلا أن هذا يكفي لتنزيل برنامج نصي آخر على كمبيوتر الضحية، والذي يقوم بدوره بتثبيت البرامج الضارة.
متغير CrashFix
يختلف نوع آخر من ClickFix في اعتماده على هندسة اجتماعية أكثر تعقيدًا. وقد اُستخدم في هجوم هجوم استهدف المستخدمين الباحثين عن أداة لحظر اللافتات الإعلانية وأدوات التتبع والبرامج الضارة والمحتويات الأخرى غير المرغوب فيها على صفحات الويب. وعند البحث عن ملحق مناسب لبرنامج Google Chrome، وجد الضحايا شيئًا يسمى NexShield – Advanced Web Guardian، والذي كان في الواقع نسخة من برنامج حقيقي يعمل بالفعل، لكنه في لحظة ما عطّل المستعرض وعرض إشعارًا مزيفًا حول مشكلة أمنية تم اكتشافها والحاجة إلى تشغيل “فحص” لإصلاح الخطأ. وإذا وافق المستخدم، يتلقى تعليمات عن كيفية فتح قائمة “Run” وتنفيذ أمر سبق أن نسخه الملحق إلى الحافظة.
نسخ الأمر ملف finger.exe المألوف إلى دليل مؤقت، وأعاد تسميته إلى ct.exe، ثم قام بتشغيله بعنوان المهاجم. وسار بقية الهجوم بالطريقة نفسها المذكورة سابقًا. واستجابةً لطلب بروتوكول Finger، تم تسليم برنامج نصي ضار، والذي أطلق وقام بتثبيت فيروس حصان طروادة للوصول عن بُعد (في هذه الحالة كان فيروس ModeloRAT).
تسليم البرامج الضارة عبر البحث في DNS
شارك فريق Microsoft Threat Intelligence أيضًا متغير هجوم ClickFix أكثر تعقيدًا من المعتاد. وللأسف، لم يصف الفريق خدعة الهندسة الاجتماعية المستخدمة، إلا أن طريقة إيصال الحمولة الخبيثة كانت مثيرة للاهتمام للغاية. ومن المرجح أن المهاجمين استخدموا خطوة إضافية لتعقيد عملية اكتشاف الهجوم في بيئات الشركات وإطالة عمر بنيتهم التحتية الخبيثة، وهي: الاتصال بخادم DNS خاضع لسيطرتهم.
أي، بعد إقناع الضحية بطريقة ما بنسخ أمر ضار وتنفيذه، يتم إرسال طلب إلى خادم DNS نيابة عن المستخدم عبر الأداة المساعدة nslookup المشروعة، لطلب بيانات لمجال example.com. وتضمن الأمر عنوان خادم DNS محدد يخضع لسيطرة المهاجمين. ويعيد استجابة تحتوي، من بين أشياء أخرى، على سلسلة نصية خبيثة، والتي بدورها تقوم بتنزيل الحمولة النهائية (وهي في هذا الهجوم، ModeloRAT مجددًا).
إغراء العملات المشفرة واستخدام JavaScript كحمولة
يعد متغير الهجوم التالي مثيرًا للاهتمام بسبب هندسته الاجتماعية متعددة المراحل. وفي التعليقات على Pastebin، نشر المهاجمون بنشاط رسالة حول ثغرة مزعومة في خدمة Swapzone.io لتبادل العملات المشفرة. ودُعي مالكو العملات الرقمية لزيارة إلكتروني أنشأه المحتالون، يحتوي على تعليمات كاملة عن كيفية استغلال هذه الثغرة، والتي زعموا أنها قد تحقق أرباحًا تصل إلى 13000 دولار في غضون يومين فقط.
توضح التعليمات كيفية استغلال ثغرات الخدمة لتبادل العملات المشفرة بسعر صرف أكثر ملاءمة. ولفعل ذلك، يتعين على الضحية فتح موقع الخدمة في مستعرض Chrome، وكتابة كلمة “:javascript” يدويًا في شريط العنوان، ثم لصق البرنامج النصي بلغة JavaScript المنسوخ من موقع المهاجمين وتنفيذه. وفي الواقع، لا يمكن لهذا البرنامج النصي التأثير على أسعار الصرف بأي حال من الأحوال؛ بل يستبدل ببساطة عناوين محافظ بيتكوين، وإذا حاول الضحية بالفعل إجراء عملية تبادل، فإنه يقوم بتحويل الأموال إلى حسابات المهاجمين.
كيف تحمي شركتك من هجمات ClickFix
يمكن مواجهة أبسط الهجمات التي تستخدم تقنية ClickFix عن طريق حظر اختصار المفاتيح [Win] + [R] على أجهزة العمل. لكن، كما يتضح من الأمثلة المذكورة، فإن هذا ليس النوع الوحيد من الهجمات التي يُطلب فيها من المستخدمين تشغيل تعليمات برمجية ضارة بأنفسهم.
لذلك، تتمثل النصيحة الأساسية في رفع مستوى الوعي بالأمن الإلكتروني لدى الموظفين. ويجب أن يدركوا بوضوح أنه إذا طلب منهم شخص ما إجراء أي تعاملات غير معتادة مع النظام، و/أو نسخ ولصق تعليمات برمجية في مكان ما، فإن هذا في معظم الحالات يمثل خدعة يستخدمها مجرمو الإنترنت. ويمكن تنظيم دورات تدريبية للتوعية الأمنية باستخدام Kaspersky Automated Security Awareness Platform.
بالإضافة إلى ذلك، للحماية من مثل هذه الهجمات الإلكترونية، نوصي بما يلي:
- استخدام حماية موثوقة على جميع أجهزة الشركة.
- مراقبة النشاط المشبوه على شبكة الشركة باستخدام حل XDR.
- إذا كانت الموارد الداخلية غير كافية، فيجب الاستعانة بخدمة خارجية لاكتشاف التهديدات والاستجابة لها على الفور.
النصائح