كشف باحثون في مجال الأمن السيبراني عن تفاصيل حملة هجمات جديدة تُعرف باسم ClickFix، تستغل مواقع إلكترونية شرعية تم اختراقها لنشر برمجية خبيثة للتحكم عن بعد (RAT) لم تكن موثقة سابقاً تُدعى MIMICRAT.
ما هي خطورة حملة ClickFix الجديدة؟
تُظهر الحملة مستوى عالياً من التطور التشغيلي، حيث تستخدم مواقع مخترقة في قطاعات ومناطق جغرافية متعددة كبنية تحتية لنشر البرمجيات الضارة. وبحسب تقرير حديث، تعتمد الهجمات على سلسلة أوامر PowerShell متعددة المراحل لتجاوز أنظمة الحماية والمراقبة قبل تحميل أداة تحميل مكتوبة بلغة Lua.
ووفقاً لما رصده فريق تيكبامين، فإن البرمجية الخبيثة النهائية تتواصل عبر بروتوكول HTTPS المنفذ 443، وتستخدم ملفات تعريف HTTP تشبه حركة مرور تحليلات الويب الشرعية للتمويه وتجنب الكشف.
أبرز قدرات برمجية MIMICRAT الخبيثة
تُعد MIMICRAT (المعروفة أيضاً باسم AstarionRAT) برمجية تروجان مخصصة مكتوبة بلغة C++، وتتميز بمجموعة واسعة من قدرات ما بعد الاختراق. تشمل أبرز الميزات التقنية ما يلي:
- دعم انتحال رموز ويندوز (Token Impersonation).
- إمكانية إنشاء نفق SOCKS5 للاتصال الخفي.
- تنفيذ 22 أمراً مختلفاً للتحكم الكامل بالنظام.
- تجاوز برامج مكافحة الفيروسات (AMSI) وتسجيل الأحداث (ETW).
كما تم تقييم وجود تداخلات تكتيكية وبنية تحتية مع حملة ClickFix أخرى تؤدي إلى نشر محمل Matanbuchus 3.0، مما يشير إلى أن الهدف النهائي للهجوم قد يكون نشر برامج الفدية أو سرقة البيانات الحساسة.
كيف تتم عملية الاختراق خطوة بخطوة؟
في تسلسل العدوى الذي تم تحليله، يبدأ الهجوم عادةً من موقع شرعي مخترق (مثل خدمات التحقق من البطاقات البنكية)، حيث يتم حقن كود JavaScript ضار:
- يقوم السكربت بتحميل ملف PHP خارجي يعرض صفحة وهمية للتحقق (مثل Cloudflare).
- تطلب الصفحة من الضحية نسخ ولصق أمر معين في مربع تشغيل ويندوز (Run) لحل "مشكلة" وهمية.
- يؤدي هذا إلى تنفيذ أمر PowerShell يتصل بخادم التحكم (C2).
- يتم تحميل سكربت مرحلي يقوم بتعطيل الحماية الأمنية.
- أخيراً، يقوم سكربت Lua بفك تشفير وتنفيذ MIMICRAT مباشرة في الذاكرة.
الاستهداف العالمي واللغات المدعومة
تتميز البرمجية بقدرتها على التواصل المشفر مع الخادم لقبول أوامر التحكم بالعمليات ونظام الملفات. وأشار باحثون أمنيون إلى أن الحملة تدعم 17 لغة مختلفة، حيث يتم توطين محتوى الخداع ديناميكياً بناءً على إعدادات لغة متصفح الضحية لتوسيع نطاق تأثيرها.
وقد وثق تيكبامين أن الضحايا الذين تم تحديدهم ينتشرون عبر مناطق جغرافية متعددة، بما في ذلك مؤسسات تعليمية في الولايات المتحدة ومستخدمين ناطقين بالصينية، مما يشير إلى استهداف انتهازي واسع النطاق يستغل أي ثغرة متاحة.
