كشف باحثون في مجال الأمن السيبراني عن نسخة جديدة من حملة الهندسة الاجتماعية المعروفة باسم “ClickFix”، والتي تستخدم الآن تقنية متطورة للتخفي من خلال تخزين البرامج الضارة مباشرة في ذاكرة التخزين المؤقت للمتصفح لدى الضحية. هذا التطور يمثل تحولاً كبيراً وخطيرًا في كيفية تجاوز الجهات الفاعلة تهديدات الأمن التقليدية.
من خلال استغلال وظائف المتصفح المشروعة، يمكن للمهاجمين إيصال شحنات برمجية خبيثة دون إطلاق تنبيهات التحميل القياسية أو حظر الشبكات الذي يميز عادةً عمليات نقل الملفات المشبوهة.
تستخدم الهجمة إغراء “ClickFix” واسع الانتشار، حيث تعرض للمستخدمين رسائل خطأ مزيفة على مواقع ويب مخترقة. تتنكر هذه المطالبات على أنها مشاكل تقنية في Google Chrome أو Microsoft Word، مما يحث الضحايا المطمئنين على نسخ ولصق “حل” في موجه أوامر PowerShell أو مربع حوار Windows Run.
بخلاف الإصدارات السابقة التي كانت تقوم بتنزيل الشحنات عند التنفيذ، فإن هذا المتغير الجديد يقوم بتحميل الكود الخبيث مسبقًا بشكل خفي أثناء زيارة الصفحة الأولية لضمان الاستمرارية.
تحذيرات من آلية جديدة لـ ClickFix
حدد محللو Dark Web Informer هذه السلالة الجديدة من البرامج الضارة التي يتم الإعلان عنها في منتديات تحت الأرض بتاريخ 17 فبراير 2026.
يدعي الجهة الفاعلة وراء هذه الحملة أن الطريقة تستهدف بشكل خاص تخزين ذاكرة التخزين المؤقت للمتصفح لإخفاء الحمولة قبل التنفيذ.
من خلال التستر على البرمجيات الخبيثة كملف مؤقت قياسي، مثل PNG أو JPG، تتجنب الهجمة إنشاء طلبات ويب مشبوهة في لحظة الإصابة، مما يعمي فعليًا العديد من أنظمة اكتشاف ومنع نقاط النهاية (EDR) التي تراقب أنشطة التنزيل في الوقت الفعلي.
يسلط الإعلان الضوء على الوصول المثير للقلق إلى هذه المجموعة الأدوات، حيث يعرض البناء، والشفرة المصدر، وتعليمات الإعداد بسعر 300 دولار.
تتوفر خدمة إضافية لإعادة كتابة القوالب المخصصة مقابل 200 دولار، مما يسمح للمهاجمين بتكييف الإغراءات لاستهداف محدد.
يثير هذا الحاجز المنخفض للدخول مخاوف من أن التقنية قد تشهد تبنياً سريعاً بين الجهات الفاعلة التي تسعى إلى نشر برامج الفدية أو برامج سرقة المعلومات.
الاستمرارية والتنفيذ المستند إلى ذاكرة التخزين المؤقت
يكمن الابتكار الأساسي في استخدام ذاكرة التخزين المؤقت للمتصفح كمكان للتجهيز.
عندما يزور الضحية صفحة الهبوط الخبيثة، يتم جلب الحمولة بصمت كمورد يبدو غير ضار – مثل صورة – ويتم تخزينها محليًا في ذاكرة التخزين المؤقت للمتصفح.
يقوم أمر PowerShell الذي ينسخه الضحية بلصقه بتحديد موقع هذا الملف المخزن مؤقتًا وتنفيذه.
نظرًا لأن الملف موجود بالفعل على القرص، فإن مرحلة التنفيذ لا تتطلب اتصال شبكة جديد، متجاوزة جدران الحماية والمحاكاة التي تميز التنزيلات التي تبدأها Shell.
يوصي خبراء الأمن بمراقبة عمليات PowerShell التي تصل إلى أدلة ذاكرة التخزين المؤقت للكشف عن هذا النشاط وحظر نطاقات ClickFix المعروفة.