حملة ClickFix تستغل ويندوز تيرمنال لنشر لاما ستيلر

حملة ClickFix الجديدة التي كشفتها مايكروسوفت تستغل ويندوز تيرمنال لخداع المستخدمين وتشغيل أوامر خبيثة تؤدي لتنزيل Lumma Stealer.

ما هي تفاصيل حملة ClickFix التي كشفتها مايكروسوفت؟

تقول مايكروسوفت إن الحملة رُصدت في فبراير 2026 وتستبدل نافذة Run التقليدية بخطوة جديدة أكثر إقناعاً. يطلب المهاجمون من الضحية استخدام اختصار Windows + X ثم I لفتح ويندوز تيرمنال مباشرة.

هذا الأسلوب يمر تحت رادار أدوات الرصد التي تركز على إساءة استخدام Run، كما يمنح المهاجمين واجهة إدارية موثوقة. ووفقاً لتقرير تيكبامين، انتشرت الرسائل عبر صفحات تحقق وهمية تشبه اختبارات CAPTCHA.

لماذا تم تغيير أسلوب الخداع؟

الهدف هو دفع المستخدم لنسخ أوامر مشفرة بنظام hex ومضغوطة بـ XOR، ما يجعلها أقل وضوحاً للفحص السريع. كما أن تشغيلها في Terminal يعطي انطباعاً بالشرعية خاصة لدى فرق الدعم.

• اختصار التشغيل: Windows + X ثم I.
• سياق إداري يمنح ثقة زائفة.
• تجاوز أنظمة تنبيه Run التقليدية.

كيف تعمل سلسلة الهجوم عبر ويندوز تيرمنال؟

بعد لصق الأمر المشفر، يفتح النظام جلسات Terminal وPowerShell إضافية وصولاً إلى عملية PowerShell تقوم بفك الترميز. هذا التسلسل يعقد تتبع المصدر ويزيد فرص نجاح التنفيذ.

تسلسل الأوامر المضغوطة

• نسخ أمر hex من صفحة ClickFix الخادعة.
• فك ضغط XOR داخل PowerShell.
• تشغيل سكربت وسيط يطلق سلسلة متعددة المراحل.

تنزيل الحمولة والأدوات

السكربت يقوم بتحميل ملف ZIP وأداة 7‑Zip شرعية لكن باسم مختلف، ثم يحفظها باسم عشوائي. بعدها يتم فك الضغط لإطلاق المرحلة التالية التي تقود إلى Lumma Stealer.

مايكروسوفت رصدت أيضاً مساراً ثانياً يعتمد على تنزيل ملف batch داخل AppData\Local لكتابة سكربت VB في %TEMP%. ثم يُشغّل عبر cmd.exe ومعامل /launched ويُعاد تشغيله عبر MSBuild.exe لاستغلال LOLBins.

• تنزيل ZIP + 7‑Zip معاد تسميته.
• استخراج المحتوى وتشغيل ملفات وسيطة.
• بديل يعتمد على batch وVB وMSBuild.

ما الذي يستهدفه Lumma Stealer في المتصفحات؟

يركز المخترقون على بيانات المتصفح ذات القيمة العالية مثل Web Data وLogin Data، ما يعني سرقة كلمات المرور والكوكيز. وتؤكد مايكروسوفت أن السارق يجمعها ثم يرسلها إلى بنية تحتية يتحكم بها المهاجم.

بيانات المتصفح الأكثر حساسية

• بيانات تسجيل الدخول المحفوظة.
• معلومات الدفع المخزنة في المتصفح.
• جلسات الدخول والكوكيز النشطة.

المسار الثاني يتضمن حقن كود بأسلوب QueueUserAPC داخل عمليات chrome.exe وmsedge.exe، ما يسمح بالوصول للبيانات دون لفت الانتباه. كما لوحظ اتصال مع نهايات RPC الخاصة بسلاسل البلوك تشين، في إشارة لتقنية إخفاء الاتصالات.

كيف تحمي أجهزتك من حملة ClickFix؟

القاعدة الأهم هي عدم تنفيذ أوامر غير مفهومة في Terminal أو PowerShell، حتى لو جاءت عبر صفحات تحقق تبدو رسمية. ينصح خبراء تيكبامين بمراجعة سبب الطلب والتحقق من مصدره قبل أي لصق للأوامر.

نصائح عملية سريعة

• فعّل حماية المتصفح ضد صفحات التصيد.
• ارفض طلبات CAPTCHA التي تطلب نسخ أوامر.
• حدّث Windows Defender وميزات الحماية السلوكية.
• استخدم حساباً محدود الصلاحيات في الاستخدام اليومي.

الخلاصة أن حملة ClickFix تعتمد على الثقة في أدوات النظام لتجاوز الحذر، لذا يبقى الوعي والتحديثات الدورية خط الدفاع الأول. مع التزام هذه الخطوات ستقل فرص الإصابة حتى مع تطور حيل الهندسة الاجتماعية.