الباب الخلفي لـ CORNFLAKE.V3

يتزايد استغلال الجهات الفاعلة للتهديدات لتقنية خادعة تُعرف باسم ClickFix لنشر برمجية خلفية متطورة تُسمى CORNFLAKE.V3. وقد ربط باحثون أمنيون يتتبعون هذا النشاط، المُسمى UNC5518، هذه العملية بعملية وصول كخدمة، حيث تخدع صفحات CAPTCHA المزيفة الضحايا لتنفيذ أوامر خبيثة. وبمجرد الحصول على الوصول، يُعاد بيعه أو مشاركته مع مجموعات أخرى من مجرمي الإنترنت لمزيد من الاستغلال.

كيف يبدأ الهجوم

غالبًا ما تبدأ سلسلة العدوى عندما يتفاعل المستخدمون مع نتائج بحث مضللة أو إعلانات ضارة. يُعاد توجيه الضحايا إلى صفحة تحقق CAPTCHA مزيفة، مصممة لتشبه خدمة Turnstile من Cloudflare أو خدمات شرعية أخرى. ظنًا منهم أنهم يحلون مشكلة تحقق، يُوجّه المستخدمون إلى نسخ ولصق نص برمجي ضار من PowerShell في نافذة تشغيل Windows، مما يمنح المهاجمين الدعم اللازم.

تورط الجهات الفاعلة في التهديد

تم استغلال الوصول المسروق من حملات UNC5518 من قبل مجموعتين متميزتين على الأقل:

• UNC5774 - جهة فاعلة ذات دوافع مالية تقوم بتسليم CORNFLAKE لنشر حمولات إضافية.
• UNC4108 - مجموعة ذات دوافع غير واضحة، تم رصدها وهي تستخدم PowerShell لإسقاط البرامج الضارة مثل VOLTMARKER وNetSupport RAT.

يوضح هذا كيف يعمل ClickFix كبوابة لمجموعة متنوعة من أنشطة المتابعة الضارة.

داخل CORNFLAKE.V3

يتوفر الباب الخلفي CORNFLAKE.V3 في إصدارات JavaScript وPHP. وهو مصمم لـ:

• تنفيذ حمولات مختلفة عبر HTTP، بما في ذلك الملفات القابلة للتنفيذ، وملفات DLL، وJavaScript، وملفات الدفعات، وأوامر PowerShell.
• جمع بيانات النظام الأساسية وإرسالها إلى خادم يتحكم فيه المهاجم عبر أنفاق Cloudflare لإخفائها.

بخلاف سابقه V2، الذي كان يعمل فقط كأداة تنزيل، يُقدّم V3 ميزة الاستمرارية من خلال تعديل مفاتيح تشغيل سجل ويندوز، ويدعم مجموعة أوسع من الحمولات. وقد تم توزيع ثلاث حمولات على الأقل من خلاله، بما في ذلك:

• أداة استطلاع Active Directory
• برنامج نصي Kerberosting لسرقة بيانات الاعتماد

WINDYTWIST.SEA، وهو باب خلفي قائم على C مع إمكانيات مثل الوصول العكسي إلى الغلاف، ونقل حركة المرور عبر TCP، والحركة الجانبية

لماذا يُعد ClickFix خطيرًا

اكتسبت طريقة ClickFix زخمًا كبيرًا في أوساط مجرمي الإنترنت لاعتمادها الكبير على التفاعل البشري. يتم التلاعب بالمستخدمين لتشغيل الأوامر بأنفسهم، متجاوزين العديد من أدوات الأمان الآلية. تشمل طرق التنفيذ الشائعة ما يلي:

• رسائل البريد الإلكتروني الاحتيالية
• حملات الإعلانات الخبيثة
• اختراق مواقع الويب أثناء القيادة

ولزيادة المصداقية، ينتحل المهاجمون في كثير من الأحيان علامات تجارية معروفة، أو عمليات تحقق Cloudflare، أو حتى عمليات التحقق من خادم Discord.

تسويق مجموعات ClickFix

منذ أواخر عام ٢٠٢٤، ظهرت برامج إنشاء ClickFix في المنتديات السرية، وتسوّقت كمجموعات "Win + R". تتراوح أسعارها عادةً بين ٢٠٠ و١٥٠٠ دولار أمريكي شهريًا، حسب الميزات. غالبًا ما تُباع المكونات الفردية، مثل الكود المصدري، وصفحات الهبوط، أو نصوص سطر الأوامر، بشكل منفصل مقابل ٢٠٠ إلى ٥٠٠ دولار أمريكي.

تقوم بعض المجموعات المتقدمة بتجميع منشئي ClickFix مع أدوات تحميل البرامج الضارة الأخرى وتقدم:

• صفحات هبوط جاهزة مع إغراءات مختلفة
• أوامر مضمونة لتجاوز اكتشاف مكافحة الفيروسات
• خيارات الاستمرارية والتهرب من SmartScreen

التدابير الدفاعية

لمواجهة الإصابات القائمة على ClickFix، ينبغي على المؤسسات اعتماد دفاعات استباقية. تشمل الخطوات الموصى بها ما يلي:

• تقييد أو تعطيل مربع حوار تشغيل Windows حيثما كان ذلك ممكنًا.
• إجراء عمليات محاكاة منتظمة للتصيد والهندسة الاجتماعية لتدريب المستخدمين.
• تنفيذ تسجيل ومراقبة قويين للكشف بسرعة عن عمليات تنفيذ PowerShell أو البرامج النصية غير المعتادة.

من خلال التركيز على الوقاية والكشف المبكر، يمكن للمؤسسات تقليل المخاطر التي تشكلها الحملات التي تتضمن ClickFix و CORNFLAKE.V3 بشكل كبير.