دخلت حملة ClearFake الخبيثة مرحلة جديدة وأكثر خطورة، محوّلةً ما كان يبدو خدعة CAPTCHA وهمية إلى سلسلة توصيل برمجيات خبيثة شديدة التخفي. تنتشر هذه الحملة حالياً عبر مئات المواقع المخترقة، حيث يعتقد الزوار أنهم يحققون شرطاً روتينياً للتحقق، لكن في الواقع، يتم تجهيز الصفحة لإطلاق شفرات مخبأة.
يحتاج الضحايا فقط إلى اتباع خطوات بسيطة بلوحة المفاتيح، مثل الضغط على Win + R ولصق أمر، لبدء الهجوم. تتضمن حملة ClearFake هذه تكتيكات الهندسة الاجتماعية الشائعة مع “العيش من الأرض” (Living off the land)، حيث تستغل أدوات مدمجة في نظام ويندوز كـ “ميزة موثوقة”، بدلاً من إسقاط ملفات برامج ضارة واضحة. كما أدى تحويل البنية التحتية للحملة إلى عقود ذكية على البلوك تشين وشبكة توصيل محتوى شهيرة إلى تفادي قوائم الحظر للمجالات وعناوين IP التي تعتمد عليها الجهات الدفاعية.
ClearFake تتطور باستغلال خدعة التحقق لتوصيل البرمجيات الخبيثة
تمكن محللو وباحثو شركة Expel من رصد هذا التطور الأخير للحملة، وذلك أثناء تتبع إطار عمل JavaScript الخاص بـ ClearFake عبر المواقع المخترقة ودراسة مراحل التحميل الجديدة. ربط فريق التحليل الحملة بنظام توزيع حركة مرور قد يكون قد وصل إلى حوالي 150 ألف نظام، بناءً على معرفات فريدة مخزنة في عقد ذكي عام يمكن رؤيته على شبكة BNB Smart Chain التجريبية.
يستخدم مشغلو ClearFake العقدة الشبيهة بعقود Ethereum كمركز قيادة مرن، حيث يقومون بتحديث أكواد JavaScript المشفرة التي تجلبها الصفحات المصابة عبر نقاط نهاية Web3 عامة. هذا التصميم، بالإضافة إلى استضافة الحمولة اللاحقة على jsDelivr، وهي شبكة توصيل محتوى مستخدمة على نطاق واسع، يعني أن كل نقطة اتصال خارجية في السلسلة تقع على خدمات تخشى الجهات الدفاعية حظرها.
استغلال نصوص ويندوز الموثوقة لتنفيذ البرمجة الوسيطة
التأثير على الأعمال واضح: يمكن لمستخدم يكمل ما يبدو أنها مهمة CAPTCHA غير ضارة أن يمنح المهاجمين عن غير قصد القدرة على تنفيذ الأكواد على نقطة نهاية مؤسسية موثوقة، مع ترك أثر ضئيل أو معدوم على القرص. من هناك، يمكن للحمولات اللاحقة سرقة البيانات، أو نشر برمجيات خبيثة إضافية، أو توفير وصول عن بعد، كل ذلك أثناء الاختباء خلف حركة مرور شبكة تبدو طبيعية ومكونات ويندوز شرعية.
يكمن جوهر التقنية الجديدة في SyncAppvPublishingServer.vbs، وهو نص برمجي شرعي موجود في مجلد System32 بنظام ويندوز، ويأتي كجزء من إدارة App-V. يقوم نظام ClearFake المضلل بتعليم المستخدمين بفتح مربع الحوار Run، حيث يحتوي الحافظة على أمر مصمم بعناية يمرر وسيطة خبيثة إلى هذا النص البرمجي.