حملة هجوم ClearFake

يستخدم مُجرمو التهديدات الإلكترونية، الذين يقفون وراء حملة ClearFake، عمليات تحقق مزيفة من reCAPTCHA وCloudflare Turnstile لخداع المستخدمين غير المنتبهين وحثّهم على تنزيل برامج ضارة. تُستخدم هذه الأساليب الخادعة لنشر برامج ضارة لسرقة المعلومات، مثل Lumma Stealer و Vidar Stealer .

تحديثات المتصفح المزيفة بمثابة فخ للبرامج الضارة

تم اكتشاف ClearFake لأول مرة في يوليو 2023، وهي حملة خبيثة تنتشر عبر مواقع ووردبريس المخترقة، باستخدام مطالبات تحديث مزيفة لمتصفحات الويب لجذب الضحايا. وقد أصبحت هذه الطريقة أسلوبًا مفضلًا لدى مجرمي الإنترنت الذين يسعون لنشر البرامج الضارة بكفاءة.

الاستفادة من EtherHiding للتخفي والاستمرار

من أهم جوانب سلسلة عدوى ClearFake تقنية EtherHiding، وهي تقنية تتيح للمهاجمين الحصول على حمولة المرحلة التالية باستخدام عقود سلسلة Binance الذكية (BSC). يعزز هذا النهج من قدرة الهجوم على الصمود بالاستفادة من تقنية blockchain اللامركزية، مما يزيد من صعوبة الكشف عنها وإزالتها.

ظهور ClickFix: حيلة الهندسة الاجتماعية

بحلول مايو 2024، أدرجت ClearFake خدعة ClickFix، وهي خدعة هندسية اجتماعية مصممة لخداع المستخدمين ودفعهم إلى تنفيذ شيفرات PowerShell خبيثة بحجة كاذبة أنها تُصلح مشكلة تقنية وهمية. تُمكّن هذه التقنية المهاجمين من السيطرة بشكل أكبر على نظام الضحية.

إمكانيات Web3 المتقدمة في أحدث إصدار من ClearFake

تستمر أحدث إصدارات حملة ClearFake في استخدام EtherHiding وClickFix، ولكن مع تطورات ملحوظة. تتضمن هذه التحديثات:

• تفاعل أكبر مع Binance Smart Chain، باستخدام واجهات التطبيقات الثنائية للعقود الذكية (ABIs).
• تم تحسين بصمات الأصابع لأنظمة الضحايا، وتحميل العديد من أكواد JavaScript والموارد.
• تم تشفير كود HTML الخاص بـ ClickFix للتهرب من تحليل الأمان.

هجوم متعدد المراحل باستخدام حمولات مشفرة

بمجرد أن يقوم الضحية بزيارة موقع ويب مخترق، يحدث الهجوم على عدة مراحل:

إذا قام الضحية بتنفيذ الإجراء الخبيث، يتم تنفيذ Emmenhtal Loader (المعروف أيضًا باسم PEAKLIGHT)، والذي يقوم في النهاية بتثبيت Lumma Stealer على النظام.

تكتيكات متطورة: تهديد واسع النطاق

بحلول يناير 2025، لاحظ باحثو الأمن سلاسل هجمات ClearFake جديدة تستخدم مُحمّلات PowerShell لتثبيت Vidar Stealer. وحتى الشهر الماضي، تم اختراق ما لا يقل عن 9300 موقع ويب.

يُحدِّث المهاجمون إطار عمل ClearFake باستمرار، مُعدّلين طُعومه ونصوصه البرمجية وحمولاته يوميًا. يُخزِّن البرنامج الخبيث الآن عناصر رئيسية متعددة داخل Binance Smart Chain، بما في ذلك:

• كود جافا سكريبت
• مفاتيح تشفير AES
• عناوين URL التي تستضيف ملفات إغراء ضارة
• أوامر ClickFix PowerShell

العدوى الجماعية والتعرض على نطاق واسع

نطاق إصابات ClearFake كبير، إذ يؤثر على عدد كبير من المستخدمين حول العالم. في يوليو 2024، تعرض ما يقرب من 200,000 مستخدم فريد لإغراءات ClearFake التي دفعتهم إلى تنزيل برامج ضارة.

ClickFix يُعرّض مواقع وكالات السيارات للخطر

كانت مواقع وكالات السيارات من أبرز مصادر الهجوم على ClickFix. تم اختراق أكثر من 100 موقع وكالة، باستخدام برمجية SectopRAT الخبيثة التي تم إدخالها عبر أدوات ClickFix.

مع ذلك، لم تُصب مواقع الوكالات الإلكترونية مباشرةً. بل حدث الاختراق عبر خدمة فيديو تابعة لجهة خارجية استضافت، دون علمها، حقنة جافا سكريبت المُخترقة. يبدو أن هذه الحادثة هجوم على سلسلة التوريد، مما يُسلط الضوء على المخاطر التي تُشكلها نقاط الضعف في خدمات الجهات الخارجية. وقد أُزيل البرنامج النصي الخبيث من الموقع المُصاب منذ ذلك الحين.

الأفكار النهائية: تهديد مستمر ومتزايد

تستمر حملة ClearFake في التطور، مستفيدةً من تقنيات متطورة قائمة على تقنية بلوكتشين، والهندسة الاجتماعية، وسلاسل العدوى متعددة المراحل. ويؤكد نطاق تأثيرها، مع آلاف المواقع المخترقة ومئات الآلاف من الضحايا المحتملين، الحاجة الملحة إلى تدابير أمنية سيبرانية فعّالة للدفاع ضد تهديدات البرامج الضارة المتطورة هذه.