كشفت حملة قرصنة جديدة، معروفة باسم “SmartApeSG”، عن أساليب متطورة تستهدف المستخدمين من خلال تقنية “ClickFix” الخبيثة، مما يؤدي إلى تثبيت مجموعة متعددة من برامج التسلل الضارة في جلسة واحدة. وقد تم رصد هذه الحملة مؤخراً، مما يثير القلق من فعاليتها المتزايدة في اختراق الأنظمة.
خلال نشاطها الأخير في 24 مارس 2026، نجحت حملة SmartApeSG في إيصال أربع حزم برمجية خبيثة مختلفة لنظام واحد مصاب، وهي: Remcos RAT، و NetSupport RAT، و StealC، و Sectop RAT. وهذا الهجوم المتكامل يوضح كيف يجمع المهاجمون أدواتهم لزيادة الضرر الناتج عن خطأ واحد من المستخدم.
تعتمد حملة SmartApeSG على حقن نصوص برمجية خبيثة في مواقع إلكترونية مشروعة تم اختراقها مسبقًا. عندما يزور المستخدم أحد هذه المواقع، يتم توجيهه تلقائيًا إلى صفحة “CAPTCHA” مزيفة، وهي صفحة تبدو كإجراء تحقق روتيني، ولكنها مصممة لخداع المستخدم وتشجيعه على تنفيذ نص برمجي ضار.
وبحسب الباحثين في مركز Internet Storm Center، فإن صفحة “CAPTCHA” المزيفة تحتوي على تعليمات “ClickFix” التي تقوم بنسخ نص برمجي خبيث إلى الحافظة الخاصة بالمستخدم دون علمه. بعد ذلك، يتم مطالبة الضحية بلصق وتنفيذ هذا النص يدويًا عبر مربع الحوار “Run” في نظام ويندوز.
بمجرد اتباع الضحية لهذه الخطوات، تبدأ سلسلة العدوى في العمل دون أي علامات واضحة لتحذير النظام المصاب. وتكمن خطورة هذه الحملة في عدم اقتصارها على نوع واحد من البرمجيات الخبيثة، بل تتعداها لتشمل عدة أنواع متزامنة.
بدأت حركة مرور Remcos RAT بالظهور بعد دقيقة واحدة فقط من تشغيل نص “ClickFix” الخبيث. تبع ذلك NetSupport RAT بعد أربع دقائق فقط. وبعد حوالي ساعة، بدأ StealC في إرسال البيانات إلى خادم القيادة والتحكم الخاص به، ثم لحق به Sectop RAT بعد ساعة وثماني عشرة دقيقة من ظهور StealC.
هذا التسليم المتدرج يمنح المدافعين مجالاً ضيقاً لالتقاط العدوى قبل أن تعمل تهديدات متعددة بشكل متوازٍ على نفس النظام. إن مزيج الحمولة الكلي، الذي يشمل برامج RAT قادرة على تسجيل ضربات المفاتيح، وأداة دعم عن بعد تم استخدامها ضد المستخدمين، وبرنامج سرقة بيانات الاعتماد، ونوع آخر من RAT، يؤكد أن SmartApeSG مصممة لمنح المهاجمين وصولاً عميقاً ومتنوعاً إلى جهاز الضحية من خلال حدث إصابة واحد.
أسلوب التحميل الجانبي لملفات DLL: كيف تختبئ البرمجيات الخبيثة بوضوح
من الجوانب التقنية اللافتة في هذه الحملة هو كيفية إخفاء الشفرات الضارة داخل حزم تحتوي على برمجيات شرعية. تعتمد الملفات المؤرشفة لـ Remcos RAT، و StealC، و Sectop RAT على تقنية تُعرف باسم “تحميل DLL الجانبي” (DLL side-loading)، حيث يتم استخدام ملف تنفيذي موثوق ومعروف لتحميل ملف DLL خبيث معه بشكل سري.
ونظراً لأن الملف التنفيذي الرئيسي يبدو نظيفاً ومألوفاً، فقد لا تقوم العديد من أدوات الأمان بتنبيه المستخدم فوراً لما يحدث. أما NetSupport RAT، فيسلك مساراً مختلفاً، فهو بحد ذاته تطبيق دعم عن بعد شرعي، ولكن في هذه الحملة، تم تكوينه للاتصال بخادم يتحكم فيه المهاجم بدلاً من خادم موثوق.
تُظهر حركة مرور الشبكة التي تم فحصها باستخدام Wireshark الاتصالات المميزة التي تجريها كل سلالة من البرمجيات الخبيثة مع خادم القيادة والتحكم الخاص بها. يتم سحب ملف HTA الذي يبدأ تنزيل Remcos RAT من الموقع urotypos[.]com ويتم حفظه محلياً باسم post.hta قبل تشغيله. والأهم من ذلك، أن نص “ClickFix” الخبيث يقوم بحذف ملف HTA هذا فور تنفيذه، مما يجعل التحقيق الجنائي أكثر صعوبة لفرق الاستجابة التي لا تلتقط العدوى بسرعة.
تنصح المنظمات بشدة بحظر نطاقي urotypos[.]com و fresicrto[.]top على مستوى DNS والجدار الناري، ومراقبة حركة المرور الصادرة نحو عناوين IP التالية: 95.142.45[.]231، 185.163.47[.]220، 89.46.38[.]100، و 195.85.115[.]11. يجب تدريب الموظفين على عدم لصق أو تشغيل أي محتوى للحافظة يتم طلبه من أي موقع إلكتروني. كما يجب على فرق الأمن مراقبة أي تنفيذ غير متوقع لملفات HTA ونشاط تحميل DLL غير عادي داخل الأدلة التي يمكن للمستخدمين الوصول إليها مثل AppData و ProgramData.