عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد سارقون تقييم حملة ClickFix

تقييم حملة ClickFix

بواسطة Mezo في سارقون
ترجمة الى:

كشف محللو الأمن السيبراني عن موجة متواصلة من الأنشطة الخبيثة التي تعتمد بشكل كبير على أسلوب الهندسة الاجتماعية واسع الانتشار ClickFix. تستغل هذه الحملة، التي تُعرف باسم EVALUSION، هذه التقنية لتوزيع كلٍّ من Amatera Stealer وNetSupport RAT، مما يُتيح سرقة بيانات واسعة النطاق والوصول عن بُعد إلى الأنظمة المُصابة.

من ACR إلى Amatera: تطور السارق

ظهرت أولى علامات أماترا في يونيو 2025، حيث قيّمها الباحثون كخليفة مباشر لبرنامج ACR (AcridRain) Stealer السابق، والذي كان يعمل سابقًا بنظام اشتراك للبرامج الضارة كخدمة. بعد توقف مبيعات ACR في منتصف يوليو 2024، ظهر أماترا بهيكل تسعير متدرج خاص به يتراوح بين 199 دولارًا أمريكيًا شهريًا و1499 دولارًا أمريكيًا سنويًا، مما جعله في متناول مجموعة متنوعة من الجهات الفاعلة في مجال التهديدات.

قدرات مصممة لمكافحة السرقة الشاملة

توفر Amatera ميزات واسعة النطاق لجمع البيانات مصممة لاختراق أنواع متعددة من معلومات المستخدم. وتمتد أهدافها عبر محافظ العملات المشفرة، والمتصفحات، وبرامج المراسلة، وأدوات FTP، وبرامج البريد الإلكتروني. لتجنب الكشف، تستخدم أساليب تهرب متقدمة، بما في ذلك استدعاءات نظام WoW64، التي تساعدها على تجاوز مراقبة وضع المستخدم الشائعة التي تستخدمها صناديق الحماية، ومحركات مكافحة الفيروسات، وحلول EDR.

تتضمن أهداف البيانات الرئيسية ما يلي:

  • محافظ العملات المشفرة وملحقاتها
  • متصفحات الويب
  • منصات المراسلة الشائعة
  • عملاء FTP
  • تطبيقات البريد الإلكتروني

ClickFix في العمل: عملية العدوى

كما هو الحال في العديد من سيناريوهات ClickFix، يُقنع الضحايا بتشغيل أمر في نافذة "تشغيل" في نظام Windows، متخفيًا في زعم إكمال اختبار reCAPTCHA مزيف على مواقع التصيد الاحتيالي. يُطلق هذا الأمر تفاعلًا متسلسلًا يتضمن ملف mshta.exe، الذي يُنفّذ نصًا برمجيًا من PowerShell. يسترد النص ملفًا ثنائيًا بتنسيق .NET مُستضافًا على MediaFire، مما يُمهّد الطريق لنشر الحمولة.

PureCrypter وMSBuild: سلسلة توصيل خفية

المكون المُنزّل هو ملف DLL لبرنامج Amatera Stealer مخفي باستخدام PureCrypter، وهو مُحمّل متعدد الاستخدامات قائم على لغة C#، يُباع أيضًا كمنتج MaaS من قِبل مطور يُعرف باسم PureCoder. بمجرد تفعيله، يُحقن ملف DLL في MSBuild.exe، مما يسمح لبرنامج السرقة ببدء جمع البيانات. ثم يتصل بخادم خارجي ويُنفّذ أمر PowerShell لتنزيل وتشغيل NetSupport RAT.

يمر منطق التنفيذ بالخطوات التالية:

  • التحقق مما إذا كان النظام ينتمي إلى مجال
  • يبحث عن الملفات ذات القيمة المحتملة، مثل بيانات محفظة العملات المشفرة
  • يتم المضي قدمًا في نشر NetSupport RAT فقط إذا تم استيفاء أحد هذه الشروط

الاستهداف الانتقائي لتحقيق أقصى قدر من التأثير

من أكثر الجوانب غير الاعتيادية في روتين PowerShell الخاص بـ Amatera منطقه الشرطي. يُقيّم السارق ما إذا كانت نقطة النهاية المُصابة جزءًا من نطاق شركة أو تحتوي على بيانات عالية القيمة. في حال عدم استيفاء أيٍّ من المعيارين، يُحجب NetSupport RAT عمدًا، مما يُشير إلى سعي المُشغّلين إلى الحفاظ على الموارد والتركيز على الأنظمة التي تُحقق أكبر عائد.

ويؤكد هذا النهج المستهدف، إلى جانب التلاعب بـ ClickFix ونظام بيئي متطور للبرامج الضارة، على التطور المتزايد لعمليات الجرائم الإلكترونية الحديثة.

الشائع

باب خلفي TAMECAT

البرمجيات الخبيثة, التهديد المستمر المتقدم (APT), الأبواب الخلفية
ظهرت موجة من أنشطة التجسس المرتبطة بمجموعة APT42 الموالية للدولة الإيرانية، حيث لاحظ المحللون جهودًا مُركّزة ضد أفراد ومنظمات مرتبطة بمصالح الحرس الثوري الإسلامي. اكتُشفت هذه العملية في أوائل...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
31,071
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...