كشفت شركة مايكروسوفت عن تفاصيل تكتيك هندسة اجتماعية جديد وخطير يُعرف بـ ClickFix، حيث يخدع المهاجمون المستخدمين لتشغيل أوامر برمجية تقوم بتنزيل برمجيات خبيثة عبر نظام أسماء النطاقات (DNS).
كيف يعمل هجوم ClickFix الجديد عبر nslookup؟
يعتمد الهجوم بشكل أساسي على استغلال أداة النظام المدمجة "nslookup"، وهي أداة مخصصة للاستعلام عن خوادم الأسماء. يتم تنفيذ هذا الهجوم عندما يقوم الضحية بتنفيذ أمر مخصص عبر نافذة التشغيل (Windows Run dialog).
أصبحت تقنية ClickFix شائعة بشكل متزايد في العامين الماضيين، حيث يتم نشرها عادةً عبر حملات التصيد الإلكتروني أو الإعلانات الضارة. يهدف المهاجمون إلى توجيه الضحايا لصفحات وهمية تعرض تنبيهات كاذبة حول مشاكل في النظام.
تطلب هذه الصفحات من المستخدمين "إصلاح" المشكلة المزعومة عن طريق نسخ ولصق أمر برمجي معين، مما يجعل الضحية هو من يقوم بإصابة جهازه بنفسه، متجاوزاً بذلك العديد من ضوابط الأمان التقليدية.
لماذا تستخدم مايكروسوفت مصطلح "قناة خفيفة" لهذا الهجوم؟
أشار فريق استخبارات التهديدات في مايكروسوفت إلى أن النسخة الجديدة من ClickFix تستخدم DNS كقناة خفيفة (Lightweight staging channel). بدلاً من الاتصال المباشر بخادم ويب، يقوم الأمر الأولي بالاتصال بخادم DNS خارجي محدد مسبقاً.
وفي سياق متابعة تيكبامين للتهديدات الأمنية، تبين أن المهاجمين يقومون بتصفية مخرجات استعلام DNS لاستخراج "استجابة الاسم"، والتي يتم تنفيذها كحمولة للمرحلة الثانية من الهجوم.
ما هي خطوات الإصابة ببرمجية ModeloRAT؟
يعد استخدام DNS بهذه الطريقة ذكياً لأنه يقلل الاعتماد على طلبات الويب التقليدية التي قد تكشفها برامج الحماية، مما يساعد في دمج النشاط الضار ضمن حركة الشبكة الطبيعية.
بمجرد نجاح المرحلة الأولى، تبدأ سلسلة هجوم معقدة تؤدي في النهاية إلى السيطرة الكاملة على الجهاز، وتشمل الخطوات التالية:
- تنزيل أرشيف مضغوط (ZIP) من خادم خارجي مشبوه.
- استخراج وتشغيل سكريبت بايثون (Python) خبيث لإجراء عمليات استطلاع.
- تنفيذ أوامر اكتشاف وجمع معلومات عن النظام الضحية.
- إسقاط وتشغيل ملف VBScript المسؤول عن إطلاق ModeloRAT.
كيف يضمن الهجوم البقاء في نظام التشغيل؟
لضمان استمرار السيطرة على الجهاز المصاب، يقوم البرنامج الخبيث بإنشاء ملف اختصار (LNK) يشير إلى ملف VBScript داخل مجلد بدء التشغيل في ويندوز (Startup folder).
هذا الإجراء يضمن تشغيل البرمجية الخبيثة تلقائياً في كل مرة يتم فيها تشغيل نظام التشغيل، مما يمنح المهاجمين وصولاً دائماً للجهاز.
تحذر مايكروسوفت وخبراء الأمن من الانصياع لأي تعليمات تطلب تشغيل أوامر يدوية لإصلاح مشاكل المتصفح أو النظام، حيث تعد هذه العلامة الأبرز لهجمات الهندسة الاجتماعية الحديثة.
