حملات ClickFix الخبيثة: أدوات تحميل جديدة تهدد بياناتك

حذر خبراء الأمن السيبراني من توسع حملات ClickFix الخبيثة، التي تعتمد على أدوات تحميل وتحديثات وهمية لاختراق الأجهزة وسرقة البيانات الحساسة.

ما هي حملات ClickFix الخبيثة الجديدة؟

رصد الباحثون الأمنيون هجمات متطورة تعتمد على حملات ClickFix لتوزيع ثلاثة أدوات تحميل خبيثة رئيسية، وهي BabaDeda و Lorem Ipsum و Potemkin. وبحسب ما تابعه موقع تيكبامين، فقد استهدفت هذه الهجمات مؤخراً قطاعات التعليم والمؤسسات المالية بشكل مكثف.

تعتمد نقطة البداية في هذه الهجمات على أساليب الهندسة الاجتماعية المتقدمة، حيث يتم خداع المستخدمين ودفعهم لتشغيل أوامر PowerShell خبيثة. تقوم هذه الأوامر بتنزيل أداة التحميل التي تزرع برمجيات سرقة البيانات وأحصنة طروادة (RATs) في النظام بطريقة يصعب تعقبها.

تطور برمجيات BabaDeda الخبيثة

عُرفت برمجيات BabaDeda سابقاً بقدرتها على إخفاء الحمولات الضارة داخل حزم تثبيت تبدو في ظاهرها شرعية وآمنة. ولكن الإطار الجديد يمثل تطوراً خطيراً في أساليب الهجوم، حيث يوفر مرونة أكبر وقدرة أعلى على التخفي وتجنب الاكتشاف المبكر.

وقد تم توثيق خدمة BabaDeda لأول مرة في أواخر عام 2021، حيث كانت تستهدف بشكل أساسي قطاعات العملات الرقمية وتقنيات Web3 بهدف سرقة المحافظ الرقمية ونشر برمجيات الفدية.

كيف تعمل أدوات التحميل لاختراق الأنظمة؟

تستخدم هذه الهجمات سلسلة من التقنيات المعقدة والمتشابكة لضمان نجاح الاختراق وتجاوز الحلول الأمنية المتقدمة. وتشمل أبرز هذه التقنيات ما يلي:

• حقن العمليات الموثوقة: يتم دمج البرمجيات الخبيثة في عمليات نظام ويندوز الأساسية مثل svchost.exe للتهرب من المراقبة.
• التحميل الجانبي (DLL): استغلال ملفات DLL المشروعة لتشغيل أكواد ضارة في الخلفية دون علم المستخدم.
• تجنب بعض الأنظمة: تمت برمجة هذه الأدوات بذكاء لعدم العمل على الأنظمة الروسية أو البيلاروسية لتجنب لفت الانتباه.
• فحص البيئة الأمنية: التحقق من وجود برامج حماية مضادة للفيروسات قبل البدء في تنزيل الحمولة الأساسية.

ما هو دور Storage Crypter في إخفاء التهديدات؟

في سلسلة هجمات أخرى مرتبطة بنفس الحملة، يتم استخدام ملف مسحوب بصيغة ZIP يحتوي على أداة متطورة تُعرف باسم Storage Crypter. تقوم هذه الأداة بقراءة الحمولات الخبيثة وفك تشفيرها من ملفات خارجية مثل List.Control.dat، مما يزيد من تعقيد عملية اكتشافها.

يساهم هذا التصميم المبتكر في تقليل الرؤية الجنائية الرقمية للباحثين، مما يعقد عمليات التحليل الآلي للبرمجيات. وكما يؤكد خبراء الأمن الرقمي، فإن بقاء الحمولات مشفرة داخل حاويات خارجية حتى لحظات ما قبل التنفيذ يقلل من فرص اكتشافها بواسطة أدوات الحماية التقليدية.

أبرز البرمجيات الموزعة عبر الهجمات

بمجرد نجاح أداة التحميل في التخفي واستقرارها داخل النظام، يتم نشر عدة عائلات من البرمجيات الخبيثة الخطيرة، وأبرزها:

• برمجيات الفدية: مثل برمجيات LockBit الشهيرة التي تستهدف تشفير الملفات وطلب مبالغ مالية لفكها.
• أحصنة طروادة (RATs): مثل SectopRAT و DanaBot، والتي تمنح المهاجمين تحكماً كاملاً عن بعد في الجهاز الضحية.
• برامج سرقة البيانات: برمجيات قادرة على سحب المعلومات الحساسة وبناء قناة اتصال مشفرة مع خوادم التحكم (C2) لسرقة الهويات والبيانات المالية.

في الختام، يرى فريق تيكبامين أن هذا التطور السريع في أطر عمل أدوات التحميل الحديثة يمثل ناقوس خطر. ويتطلب من المستخدمين والمؤسسات تبني استراتيجيات أمنية أكثر صرامة، وتجنب التفاعل مع التحديثات الوهمية أو النقر على الروابط المشبوهة لضمان سلامة الأصول الرقمية من هذه التهديدات المتطورة.