الهندسة الاجتماعية
قمنا مؤخرًا بتغطية تقنية ClickFix. والآن، بدأت الجهات ذات النوايا الخبيثة في نشر تطور جديد لها، أطلق عليه الباحثون اسم “FileFix”. ويظل المبدأ الأساسي واحدًا: استخدام تكتيكات الهندسة الاجتماعية لخداع الضحية لتنفيذ تعليمات برمجية ضارة دون قصد على جهازه الخاص. ويكمن الاختلاف بين ClickFix وFileFix بشكل أساسي في موقع تنفيذ الأمر.
في حالة ClickFix، يقنع المهاجمون الضحية بفتح مربع حوار Windows Run ولصق أمر ضار فيه. أما مع FileFix، فإنهم يتلاعبون بالضحية ليقوم بلصق الأمر في شريط عنوان Windows File Explorer. ومن منظور المستخدم، لا يبدو هذا الإجراء غريبًا، فنافذة File Explorer هي عنصر مألوف، مما يجعل استخدامه أقل عرضة لأن يُنظر إليه على أنه خطير. ونتيجة لذلك، فإن المستخدمين الذين ليسوا على دراية بهذا الأسلوب التكتيكي بالتحديد هم أكثر عرضة بكثير للوقوع في خدعة FileFix.
كيف يتلاعب المهاجمون بالضحية لتنفيذ تعليماتهم البرمجية
على غرار ClickFix، يبدأ هجوم FileFix عندما يتم توجيه المستخدم – غالبًا عبر رسالة بريد إلكتروني للتصيد الاحتيالي – إلى صفحة تحاكي موقع ويب خاصًا بخدمة مشروعة عبر الإنترنت. ويعرض الموقع المزيّف رسالة خطأ تمنع الوصول إلى الوظائف العادية للخدمة. ولحل المشكلة، يُطلب من المستخدم تنفيذ سلسلة من الخطوات لإجراء عملية “فحص للبيئة” أو “تشخيص”.
لفعل ذلك، يُطلب من المستخدم تشغيل ملف محدد، يزعم المهاجمون أنه إما موجود مسبقًا على جهاز كمبيوتر الضحية أو تم تنزيله للتو. وكل ما يحتاجه المستخدم هو نسخ المسار إلى الملف المحلي ولصقه في شريط عنوان Windows File Explorer. وبالفعل، يُظهر الحقل الذي يُطلب من المستخدم نسخ السلسلة منه المسار إلى الملف، ولهذا سُمي الهجوم “FileFix”. وبعد ذلك، يُطلب من المستخدم فتح File Explorer، والضغط على [CTRL] + [L] للتركيز على شريط العناوين، والصق “مسار الملف” عبر [CTRL] + [V]، والضغط على [ENTER].
إليك الخدعة: مسار الملف المرئي هو فقط العشرات القليلة الأخيرة من الأحرف من أمر أطول بكثير. ويسبق مسار الملف هذا سلسلة من المسافات، ويسبق تلك المسافات الحمولة الخبيثة الفعلية التي ينوي المهاجمون تنفيذها. وتُعد المسافات ضرورية لضمان عدم رؤية المستخدم لأي شيء مشبوه بعد لصق الأمر. ولأن السلسلة الكاملة أطول بكثير من المنطقة المرئية لشريط العنوان، فإن مسار الملف الحميد هو الوحيد الذي يظل مرئيًا. ولا يتم الكشف عن المحتويات الحقيقية إلا إذا تم لصق المعلومات في ملف نصي بدلاً من نافذة File Explorer. على سبيل المثال، في مقالة على موقع Bleeping Computer استنادًا إلى بحث أجرته شركة Expel، وُجد أن الأمر الفعلي كان يهدف إلى تشغيل برنامج نصي PowerShell عبر conhost.exe.
يعتقد المستخدم أنه يقوم بلصق مسار ملف، لكن الأمر يحتوي بالفعل على برنامج نصي PowerShell. المصدر
ماذا يحدث بعد تشغيل البرنامج النصي الضار
يمكن أن يتسبب البرنامج النصي PowerShell الذي ينفذه مستخدم شرعي أن يسبب المشاكل بطرق متعددة. ويعتمد كل شيء على سياسات أمان المؤسسة، وصلاحيات المستخدم المحددة، ووجود حلول الأمان على جهاز الكمبيوتر الخاص بالضحية. وفي الحالة المذكورة سابقًا، استغل الهجوم تقنية تُعرف باسم “تهريب التخزين المؤقت. وحفظ موقع الويب المزيف نفسه الذي نفذ خدعة FileFix ملفًا بتنسيق JPEG في ذاكرة التخزين المؤقت للمستعرض، لكن الملف احتوى بالفعل على أرشيف يتضمن برامج ضارة. بعد ذلك، استخرج البرنامج النصي الضار هذه البرامج الضارة ونفذها على كمبيوتر الضحية. وتسمح هذه الطريقة بتسليم الحمولة الضارة النهائية إلى الكمبيوتر دون تنزيلات ملفات واضحة أو طلبات شبكة مشبوهة، مما يجعلها خفية بشكل خاص.
كيفية حماية شركتك من هجمات ClickFix وFileFix
في منشورنا عن تقنية هجوم ClickFix، اقترحنا أن أبسط إجراء دفاعي هو حظر تركيبة المفاتيح [Win] + [R] على أجهزة العمل. ومن النادر للغاية أن يحتاج موظف مكتبي عادي فعليًا إلى فتح مربع حوار Run (التشغيل). أما في حالة FileFix، فإن الوضع أكثر تعقيدًا قليلاً: نسخ أمر في شريط العناوين هو سلوك مستخدم طبيعي تمامًا.
ويعتبر حظر اختصار [CTRL] + [L] أمرًا غير مرغوب فيه بشكل عام لسببين. أولاً، تُستخدم هذه التركيبة بشكل متكرر في تطبيقات متنوعة لأغراض مشروعة ومختلفة. ثانياً، لن يكون هذا الحظر مجديًا بالكامل، حيث لا يزال بإمكان المستخدمين الوصول إلى شريط عنوان File Explorer بمجرد النقر عليه بالماوس. وغالبًا ما يقدم المهاجمون تعليمات مفصلة للمستخدمين في حال فشل اختصار لوحة المفاتيح.
لذلك، للحصول على دفاع فعال حقًا ضد ClickFix وFileFix والمخططات المماثلة، نوصي أولاً وقبل كل شيء بنشر حل أمان موثوق على جميع أجهزة العمل الخاصة بالموظفين يمكنه اكتشاف ومنع تنفيذ التعليمات البرمجية الخطيرة في الوقت المناسب.
ثانيًا، ننصح برفع مستوى وعي الموظفين بانتظام بشأن التهديدات الإلكترونية الحديثة – لا سيما أساليب الهندسة الاجتماعية المستخدمة في سيناريوهات ClickFix وFileFix. ويمكن أن تساعد Kaspersky Automated Security Awareness Platform في أتمتة تدريب الموظفين.
النصائح