ClickFix Malware

تستخدم إحدى استراتيجيات توزيع البرامج الضارة الحديثة إشعارات خادعة تشبه أخطاء Google Chrome وMicrosoft Word وOneDrive. تهدف هذه التنبيهات المزيفة إلى خداع المستخدمين لتنفيذ "إصلاحات" تهديدية لـ PowerShell، والتي تؤدي في النهاية إلى تثبيت البرامج الضارة. وقد تم التعرف على هذه الحملة واستخدامها من قبل جهات تهديد مختلفة، بما في ذلك تلك المرتبطة بـ ClearFake، ومجموعة جديدة تعرف باسم ClickFix، وممثل التهديد TA571 سيئ السمعة. يُعرف TA571 بدوره كموزع للبريد العشوائي، وهو مسؤول عن نشر كميات كبيرة من رسائل البريد الإلكتروني التي غالبًا ما تؤدي إلى الإصابة بالبرامج الضارة وبرامج الفدية.

في السابق، كانت هجمات ClearFake تتضمن تراكبات مواقع الويب التي خدعت الزائرين لتثبيت برامج ضارة من خلال التظاهر بأنها تحديثات مزيفة للمتصفح.

تنبيهات الأخطاء الزائفة قد تؤدي إلى تهديدات بالبرامج الضارة

في الهجمات المبلغ عنها، قامت الجهات الفاعلة في مجال التهديد بتوسيع أساليبها لتشمل JavaScript المضمن في مرفقات HTML ومواقع الويب المخترقة. تتضمن هذه التكتيكات الآن تراكبات تحاكي الأخطاء الزائفة من Google Chrome وMicrosoft Word وOneDrive. تحث هذه التنبيهات الخادعة الزائرين على النقر فوق زر لنسخ "إصلاح" PowerShell إلى الحافظة الخاصة بهم، وتطلب منهم لصقه وتنفيذه إما في مربع حوار "تشغيل" أو في موجه PowerShell.

في حين أن سلسلة الهجوم هذه تعتمد على تفاعل كبير من قبل المستخدم، فإن هندستها الاجتماعية متطورة بما يكفي لتزويد المستخدمين بما يبدو أنه مشكلة حقيقية وحل في وقت واحد. وهذا يمكن أن يجبر المستخدمين على التصرف على عجل دون إجراء تقييم كامل للمخاطر المرتبطة بها. حدد باحثو Infosec العديد من الحمولات المستخدمة في هذه الهجمات، بما في ذلك DarkGate و Matanbuchus و NetSupport و Amadey Loader و XMRig وخاطف الحافظة و Lumma Stealer .

تقوم البرامج النصية الاحتيالية بإسقاط البرامج الضارة على أجهزة المستخدمين

حدد المحللون ثلاث سلاسل هجومية متميزة تتميز في المقام الأول بمراحلها الأولية، مع عدم ربط السلسلة الأولى بشكل نهائي بـ TA571.

في هذا السيناريو الأول، المرتبط بجهات التهديد المرتبطة بـ ClearFake، يزور المستخدمون مواقع الويب المخترقة التي تقوم بتحميل البرامج النصية الضارة المستضافة على blockchain عبر عقود Binance Smart Chain. تجري هذه البرامج النصية عمليات فحص وتطلق تنبيهات Google Chrome المزيفة التي تدعي وجود مشكلات في عرض صفحة الويب. يطالب مربع الحوار بعد ذلك الزائرين بتثبيت "شهادة الجذر" عن طريق نسخ برنامج PowerShell النصي إلى حافظة Windows وتنفيذه في وحدة تحكم Windows PowerShell (المسؤول).

عند التنفيذ، يقوم البرنامج النصي PowerShell بالتحقق من صحة الجهاز المستهدف. ويشرع في تنفيذ إجراءات مثل مسح ذاكرة التخزين المؤقت لـ DNS، ومسح محتويات الحافظة، وعرض رسالة تشتيت الانتباه، وتنزيل برنامج PowerShell النصي عن بعد. يقوم هذا البرنامج النصي بدوره بإجراء فحوصات لمكافحة الأجهزة الافتراضية (VM) قبل بدء تنزيل حمولة سرقة المعلومات.

ClickFix وإغراء رسائل البريد الإلكتروني المستخدمة كسلاسل هجوم بديلة

ترتبط سلسلة الهجوم الثانية بحملة "ClickFix"، وذلك باستخدام حقن مواقع الويب في المواقع المخترقة لإنشاء تراكب iframe يعرض خطأً مزيفًا في Google Chrome. يتم توجيه المستخدمين لفتح "Windows PowerShell (Admin)" ولصق التعليمات البرمجية المتوفرة، مما يؤدي إلى حدوث نفس الإصابات المذكورة سابقًا.

تتضمن طريقة الإصابة الأخرى الهجمات عبر البريد الإلكتروني باستخدام مرفقات HTML التي تشبه مستندات Microsoft Word. يُطلب من المستخدمين تثبيت ملحق "Word Online" لعرض المستند بشكل صحيح. توفر رسالة الخطأ خيارات "كيفية الإصلاح" و"الإصلاح التلقائي". يؤدي تحديد "كيفية الإصلاح" إلى نسخ أمر PowerShell المشفر بالأساس 64 إلى الحافظة، ويطلب من المستخدمين لصقه في PowerShell. يستخدم "الإصلاح التلقائي" بروتوكول search-ms لعرض ملف "fix.msi" أو "fix.vbs" مستضاف على WebDAV من مشاركة ملف يتحكم فيها المهاجم عن بعد. في هذه الحالات، تقوم أوامر PowerShell بتنزيل وتنفيذ إما ملف MSI أو برنامج نصي VBS، مما يؤدي إلى حدوث إصابات بواسطة Matanbuchus أو DarkGate، على التوالي.

خلال هذه الهجمات، تستغل الجهات الفاعلة في مجال التهديد قلة وعي المستخدمين بالمخاطر المرتبطة بتنفيذ أوامر PowerShell على أنظمتهم. كما أنها تستفيد أيضًا من عدم قدرة Windows على اكتشاف ومنع الإجراءات الضارة الناجمة عن التعليمات البرمجية الملصقة.

تشير سلاسل الهجوم المتنوعة التي لاحظها الباحثون إلى أن TA571 يستكشف بنشاط طرقًا متنوعة لتعزيز الفعالية واكتشاف مسارات إضافية لإصابة عدد أكبر من الأنظمة. يؤكد هذا النهج التكيفي التزام مجرمي الإنترنت بتطوير تكتيكاتهم وتوسيع تأثيرهم في مشهد الأمن السيبراني.