كشف خبراء في الأمن السيبراني عن موجة هجمات جديدة تستهدف أنظمة ويندوز، تعتمد على خداع المستخدمين عبر صفحات تحقق مزيفة من نوع CAPTCHA، وذلك بهدف نشر برمجيات خبيثة من نوع StealC، والمعروفة بقدرتها على سرقة المعلومات الحساسة. تُمثل هذه الحملة تطوراً مقلقاً في أساليب الجريمة الإلكترونية، حيث تدمج بين التلاعب النفسي وتقنيات التخفي المتقدمة.
يبدأ الهجوم عندما يزور المستخدمون مواقع ويب مخترقة، حيث يتم تحميل نص برمجي خبيث يعرض صفحة CAPTCHA وهمية تحاكي نظام التحقق من Cloudflare. تطلب الصفحة من الضحايا الضغط على مفتاح ويندوز + R، ثم Ctrl + V للصق أمر مخفي، وأخيراً الضغط على Enter لتنفيذه. يستغل هذا الأسلوب، المعروف باسم ClickFix، ثقة المستخدمين، مما يحثهم على تنفيذ البرمجيات الخبيثة ظناً منهم أنهم يكملون إجراء أمنياً روتينياً.
أشار باحثو LevelBlue، الذين اكتشفوا هذه الحملة، إلى سلسلة الهجوم متعددة المراحل التي تقوم بتحميل شفرة Shellcode غير مرتبطة بالملفات، ثم تقوم بتحميل وإدخال برنامج StealC فعلياً ضمن عمليات نظام ويندوز الشرعية.
موجة هجمات ClickFix الجديدة تستهدف أنظمة ويندوز
تستهدف الموجة الجديدة من هجمات ClickFix المستخدمين بشكل أساسي من خلال استغلال المواقع الإلكترونية التي تم اختراقها. بعد زيارة هذه المواقع، يتم توجيه الضحايا إلى صفحة CAPTCHA زائفة، والتي تظهر وكأنها جزء من إجراء أمني قياسي.
هذه الصفحات المزيفة هي الأداة الرئيسية التي يتلقى المهاجمون من خلالها المعلومات. يتم تصميم الصفحة بعناية لتبدو مطابقة لصفحات Cloudflare الحقيقية، مما يزيد من احتمالية وقوع المستخدمين في الفخ.
سلسلة العدوى وتكتيكات التخفي
تعمل البرمجية الخبيثة StealC على سرقة بيانات الاعتماد من متصفحات متعددة، بما في ذلك Chrome و Edge و Firefox، بالإضافة إلى محافظ العملات المشفرة مثل MetaMask و Coinbase Wallet. كما تستهدف ملفات مصادقة حسابات Steam وبيانات اعتماد البريد الإلكتروني من Outlook، وتجمع معلومات النظام مع لقطات الشاشة.
تستخدم البرمجية الخبيثة تقنيات تنفيذ خالية من الملفات، مما يعني أنها تعمل بالكامل في الذاكرة دون كتابة أي ملفات على القرص. هذا يجعل اكتشافها صعباً للغاية بالنسبة لبرامج مكافحة الفيروسات التقليدية.
بعد تنفيذ أمر PowerShell الأولي، يقوم البرنامج بالاتصال بخادم تحكم خارجي لتنزيل شفرة Shellcode. تستخدم هذه الشفرة أدوات مثل إطار عمل Donut لإنشاء حمولة خبيثة، ثم يتم إدخالها في عملية نظام شرعية تسمى svchost.exe.
يتواصل StealC مع خادم الأوامر والتحكم الخاص به باستخدام حركة مرور HTTP مشفرة بترميز Base64 و RC4. لجعل عملية الاستخراج أكثر صعوبة، يستخدم البرنامج تقنيات تعمية مزدوجة للسلاسل النصية، مما يخفي بيانات التكوين الهامة مثل عناوين خوادم C2.
للحماية من هذه الهجمات، يُنصح المؤسسات بمراقبة سلاسل User-Agent المشبوهة، والإبلاغ عن تنفيذ PowerShell بأوامر مشفرة، واكتشاف أنماط تشير إلى حقن شفرة Shellcode، وإطلاق تنبيهات عند الوصول غير المعتاد إلى قواعد بيانات معلومات المتصفح.