قام مجرمو الإنترنت بتحديث برنامج ClickFix الخبيث سيئ السمعة لإخفائه على أنه تحديث ويندوز رسمي، مما يخدع المستخدمين ويدفعهم إلى لصق أمر ضار في نافذة التشغيل. يكمن سر هذا البرنامج في استخدامه لبيانات بكسل من ملف PNG لنشر برامج سرقة معلومات تسرق أسماء المستخدمين وكلمات المرور ومحافظ العملات المشفرة وتفاصيلهم المصرفية ومعلوماتهم الشخصية وغيرها.
كشف باحثو الأمن السيبراني في Huntress مؤخرًا عن النسخة الجديدة من ClickFix. ينشر البرنامج الخبيث صفحة متصفح بملء الشاشة تُحاكي تحديثًا كاملًا لنظام ويندوز من مايكروسوفت، مع شريط تقدم وحالة اكتمال 95% لـ"تحديث أمني حرج".
يُعثر على هذا البرنامج الخبيث بشكل رئيسي على مواقع الويب المزيفة للبالغين التي تُحاكي المواقع الشائعة، وغالبًا ما تكون متخفية في شكل إعلانات أو مطالبات للتحقق من العمر. بمجرد النقر على إعلان أو فيديو أو مطالبة للتحقق من العمر، ستظهر لك شاشة بدء تحديث ويندوز المزيفة.
بعد ذلك، يُوجّه البرنامج الخبيث المستخدمين إلى الضغط على مفتاح Windows + R لفتح نافذة "تشغيل"، ولصق الشيفرة الخبيثة المنسوخة مسبقًا، وتفويض الوصول الإداري لمجرمي الإنترنت.
بمجرد تفعيل الأمر، يُشغّل البرنامج برنامج mshta (مضيف تطبيقات HTML من Microsoft) باستخدام عنوان URL يُستخدم أيضًا كموجه هجوم. بعد ذلك، تقوم الأداة المُثبّتة مسبقًا بجلب حمولة من عنوان URL مُرمّز بنظام سداسي عشري، وتُشغّل شيفرة PowerShell غير مرغوب فيها لمنع أدوات مثل Bitdefender من اتخاذ أي إجراء أو اكتشاف أي نشاط خبيث. ثم يُنشِر شيفرةً لفك تشفير ملف PNG، واستخراج تعليمات shell، وحقنها في العمليات التي تعمل بالفعل على النظام الأساسي المُستهدف.
على الرغم من أن صورة PNG تبدو غير ضارة، إلا أنها تحتوي على شيفرة خبيثة مُضمّنة في بيانات البكسل الخاصة بها، والتي يقوم مُجمّع .NET بفك تشفيرها. بعد عدة أوامر إضافية، يُنشِر البرنامج برامج سرقة معلومات مثل Rhadamanthys أو LummaC2، التي تجمع البيانات وضغطات المفاتيح للحصول على كلمات المرور وبيانات الاعتماد ومحافظ العملات المشفرة المُخزّنة رقميًا، ثم تُرسلها إلى خوادم خارجية. صرحت شركة هانتريس أن هذا النوع من ClickFix ينتشر على الإنترنت منذ أوائل أكتوبر، ولا تزال العديد من المواقع والنطاقات تستضيف رسالة التحديث المزيفة، على الرغم من نشرها بمستويات متفاوتة من التعقيد على تلك المواقع.
يخفي المخترقون برمجيات خبيثة في صور تبدو بريئة، أو يضيفون الكثير من السطور غير المفيدة، مما يُربك بعض خبراء الأمن السيبراني الباحثين عن برمجيات خبيثة من خلال التعتيم. وذكرت هانتريس أنهم وجدوا أشياء غريبة في الشيفرة، مثل اقتباس من اجتماع سابق للأمم المتحدة: "فيما يتعلق بالمرحلة الثالثة، نوصي بشدة بالتدمير الكامل لجميع الأسلحة، إذ لا يمكن ضمان السلام الدائم بدون ذلك".
يُعد هذا البرنامج الخبيث ClickFix لتحديثات Windows، بلا شك، أحد أكثر أشكال سرقة المعلومات براعةً وخباثةً حتى الآن. يُنصح بالتحقق من عناوين URL للنطاقات وتجنب النقر على الإعلانات أو تشغيل أي أوامر مباشرة على أجهزتهم، خاصةً عندما قد تُتيح لهم، عن غير قصد، فرصةً لبرامج خبيثة متطورة مثل ClickFix
تعليقات
إرسال تعليق