حملة JackFix للبرامج الضارة
يُسلِّط تحقيقٌ حديثٌ الضوء على موجةٍ متناميةٍ من الهجمات التي تستغلُّ أساليبَ الهندسة الاجتماعية المُماثلة لـ ClickFix. تعتمد هذه المخططات على إقناع الضحايا بتنفيذ أوامرٍ ضارةٍ بأنفسهم، غالبًا من خلال مطالباتٍ تقنيةٍ مُدبَّرة. وتُوسِّع العمليةُ الأخيرةُ نطاقَ هذا التكتيكِ بربطه بمواقعٍ إلكترونيةٍ مزيفةٍ للبالغين وإشعاراتٍ مُزيَّفةٍ لتحديثات Windows، مُشكِّلةً سلسلةَ عدوى شديدةَ التلاعب أطلقت عليها فرقُ الأمن اسم JackFix.
جدول المحتويات
بوابات التصيد الاحتيالي المخصصة للبالغين كنقطة دخول
تبدأ الحملة بمواقع إلكترونية احتيالية للبالغين مصممة لتشبه منصات معروفة، ويتم نشرها عبر الإعلانات الخبيثة وأساليب إعادة التوجيه الأخرى. عند وصول المستخدمين إلى هذه الصفحات، يواجهون بسرعة رسالة تحديث عاجلة تُصوَّر على أنها إشعار أمني حرج لنظام ويندوز. يُضاعف هذا الطابع المُبالغ فيه الضغط النفسي، مما يجعل طلب التحديث المفاجئ يبدو معقولاً، ويثني المستخدمين عن التشكيك في صحته.
تحتوي بعض المتغيرات لهذه المواقع على تعليقات للمطورين باللغة الروسية، مما يشير إلى وجود صلة محتملة بمجموعة تهديد ناطقة باللغة الروسية.
تنبيهات التحديث الخادعة على كامل الشاشة
بمجرد تفاعل الزائر مع الصفحة المزيفة، تُشغّل مكونات HTML وJavaScript على الفور نافذةً تُحاكي نافذة تحديث Windows في وضع ملء الشاشة. تستخدم الواجهة خلفية زرقاء ونصًا أبيض بسيطًا، مُحاكيةً نمط رسائل النظام المُلحة. يُحاول JavaScript فرض وضع ملء الشاشة، بينما يُحاول كود إضافي حظر مفاتيح الهروب الشائعة، بما في ذلك Escape وF11 وF5 وF12، لحصر المستخدم داخل التحديث المُزيّف.
على الرغم من ذلك، فإن أخطاء التنفيذ تسمح لـ Escape وF11 بمواصلة العمل، مما يمنح المستخدمين طريقة ممكنة للخروج.
يكمن جوهر الخداع في التعليمات المعروضة على الضحية: افتح نافذة "تشغيل" في ويندوز، ثم الصق أمرًا منسوخًا مسبقًا، ونفّذه. يؤدي اتباع هذه الخطوات إلى تشغيل الحمولة الخبيثة وبدء عملية الاختراق.
هيمنة ClickFix وتطور الهجوم
شهد نشاط هجمات ClickFix زيادةً حادة، حيث يُمثل الآن ما يقرب من نصف حالات الوصول الأولية الموثقة. عادةً ما تنتحل هذه التهديدات صفة اختبارات CAPTCHA أو مطالبات استكشاف الأخطاء وإصلاحها. تُمثل حملة JackFix تحولًا نحو أساليب إغراء أكثر شموليةً وشبهًا بالأنظمة، حيث تُظهر كيف يُحسّن المهاجمون باستمرار أساليب التلاعب النفسي لتحقيق تنفيذ التعليمات البرمجية بمساعدة المستخدم.
التعتيم الطبقي وتسليم الحمولة بناءً على الأوامر
يستخدم الأمر الأول المُنفَّذ على جهاز الضحية ملف mshta.exe لتشغيل حمولة MSHTA تحتوي على JavaScript. يستدعي هذا البرنامج النصي أمر PowerShell الذي يسترجع مرحلة PowerShell أخرى من خادم بعيد. لتجنب التدقيق، تُعيد النطاقات المرتبطة التوجيه إلى مواقع آمنة مثل Google أو Steam عند الوصول إليها يدويًا. الطلبات المُوجَّهة عبر أوامر PowerShell مُحدَّدة فقط، مثل irm أو iwr، هي التي تُفعِّل الاستجابة الخبيثة، مما يُضيف حاجزًا تحليليًا كبيرًا.
يتضمن نص PowerShell الذي تم تنزيله تشويشًا كبيرًا: أكوام غير مرغوب فيها، ومنطقًا مخفيًا، وعمليات تحقق تهدف إلى إعاقة الهندسة العكسية. كما يحاول تصعيد الامتيازات، ويضيف استثناءات لمكافحة الفيروسات مرتبطة بنقاط نهاية C2 وأدلة التجهيز.
تصعيد الامتيازات القسري ونشر الحمولة
يتم رفع الصلاحيات باستخدام أمر Start‑Process مع المعلمة -Verb RunAs، مع مطالبة الضحية بشكل متكرر حتى يتم منحها صلاحيات إدارية. بمجرد رفع الصلاحيات، ينشر البرنامج النصي مكونات إضافية، غالبًا ما تكون أحصنة طروادة خفيفة الوزن للوصول عن بُعد مصممة للاتصال بخادم C2 وجلب المزيد من البرامج الضارة.
ترسانة متنوعة من اللصوص والمحملين
لقد تم ملاحظة أن البرامج الضارة تقوم بتوصيل ما يصل إلى ثمانية حمولات مميزة، بما في ذلك:
- Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey
- أجهزة تحميل أخرى وأجهزة RAT تُستخدم لشن تهديدات لاحقة
يكفي تنفيذ هجوم ناجح واحد لتعريض البيانات الحساسة للخطر. يواجه الضحايا فقدان بيانات الاعتماد، وممتلكاتهم من العملات المشفرة، وغيرها من المعلومات الشخصية. كما تُمكّن بعض برامج التحميل المهاجمين من توسيع نطاق الاختراق باستخدام برمجيات خبيثة أكثر قوة، مما يُفاقم التأثير بشكل كبير.
