كشفت تقارير أمنية حديثة عن حملة سيبرانية متطورة تستخدم تقنية خداع تعرف باسم “ClickFix” لتوزيع برمجية خبيثة جديدة من نوع حصان طروادة للوصول عن بعد (RAT) أطلق عليها اسم MIMICRAT. تستهدف هذه الحملة المواقع الشرعية لنشر البرمجية، متجاوزة بذلك وسائل الحماية الأمنية التقليدية بالاعتماد على الهندسة الاجتماعية بدلاً من استغلال الثغرات البرمجية.
البرمجية الخبيثة هي عبارة عن برنامج مزروع قابل للتخصيص، تم بناؤه بلغة C++، ومصمم للعمل بتخفٍ وبقاء طويل على الأنظمة المستهدفة، مما يشكل خطراً كبيراً على المؤسسات العالمية.
تبدأ سلسلة الهجوم عندما يزور المستخدم موقعاً موثوقاً، مثل أداة مالية، يكون قد تم حقنه سراً بسكريبت خبيث. يعرض هذا السكريبت نافذة منبثقة وهمية تحمل شعار Cloudflare، تحث الضحية على نسخ وتنفيذ أمر PowerShell محدد لحل خطأ مفترض في المتصفح. من خلال استغلال ثقة المستخدم، تتجاوز هذه التقنية المعروفة بـ “ClickFix” إجراءات الحماية المضمنة في المتصفحات.
اكتشاف MIMICRAT: حملة برمجيات خبيثة متعددة المراحل
تمكن محللو شركة Elastic من تحديد هذه التهديد المعقد في أوائل فبراير 2026، حيث لاحظوا استخدام الحملة لخمس مراحل عدوى مختلفة للتخفي بفاعلية.
أشار الباحثون إلى أن الحملة تستهدف صناعات متعددة من خلال تخصيص الطُعم ديناميكيًا إلى 17 لغة مختلفة، مما يضمن وصولها الواسع عبر مناطق جغرافية متنوعة. وأوضحوا أن التصميم المعياري للبرمجية الخبيثة يسمح للمهاجمين بتكييف تكتيكاتهم بسرعة.
البرمجية النهائية، MIMICRAT، مزودة بقدرات متقدمة، بما في ذلك سرقة رموز Windows، ومعالجة نظام الملفات، وتقنية نفق SOCKS5. تحافظ البرمجية على استمراريتها مع التواصل مع خوادم القيادة والتحكم باستخدام ملفات تعريف HTTP قابلة للتعديل تمتزج بسلاسة مع حركة مرور تحليلات الويب الشرعية.
يجعل هذا التمويه المتطور من الصعب للغاية على المدافعين عن الشبكة تحديد النشاط الخبيث، حيث يتم إخفاء الإشارات الضارة وسط الضوضاء الخلفية العادية.
آلية العدوى والتنفيذ في MIMICRAT
تم تصميم آلية العدوى لتجاوز الدفاعات الحديثة من خلال سلسلة من الخطوات المحسوبة والمُشفرة. بعد التنفيذ الأولي لـ PowerShell، يتم تنزيل سكريبت ثانٍ مُشفر بشكل كبير لتعطيل تتبع أحداث Windows وواجهة فحص البرامج الضارة (AMSI).
تُعمي هذه الخطوة الحاسمة أدوات الأمان، مما يسمح للمراحل اللاحقة بالعمل على جهاز الضحية دون إصدار تنبيهات قياسية. بعد تجاوز هذه الدفاعات، يتم إسقاط مُحمِّل يعتمد على لغة Lua لفك تشفير وتنفيذ الشل كود النهائي بالكامل داخل ذاكرة النظام.
يضمن هذا النهج الذي لا يعتمد على الملفات بقاء MIMICRAT في ذاكرة الوصول العشوائي فقط، مما يقلل بشكل كبير من بصمته الرقمية ويعقد التحليل الجنائي لفرق الأمان التي تحاول تتبع الاختراق. استخدام مُحمِّل Lua مخصص يزيد من تعتيم مسار الهجوم.
للدفاع ضد هذا التهديد، يجب على المنظمات تعزيز تدريب المستخدمين للتعرف على نوافذ التحقق المزيفة للمتصفح وتجنب لصق الأوامر غير المعروفة. يجب على فرق الأمان فرض سياسات صارمة لتنفيذ PowerShell ومراقبة سطور الأوامر المشفرة. يُعد حظر النطاقات الضارة المعروفة وفحص حركة مرور الشبكة لأنماط اتصال MIMICRAT المحددة أمرًا بالغ الأهمية لتعطيل سلسلة الهجوم قبل حدوث تسرب للبيانات.