تستهدف حملة برمجيات خبيثة منظمة متخصصي العملات المشفرة وتقنية الويب 3 عبر سلسلة محكمة التخطيط من الهندسة الاجتماعية، وهويات شركات رأس مال استثمارية وهمية، وروابط مؤتمرات فيديو مزيفة. تعمل هذه الحملة، التي تم تتبعها لأول مرة في أوائل عام 2026، باستخدام تقنية تسمى “ClickFix” للتلاعب بالضحايا لتنفيذ أوامر خبيثة على أجهزتهم الخاصة، مما يجعلهم آلية توصيل غير واعية للهجوم.
بدأت الحملة على منصة لينكد إن، حيث قدم مشغل باستخدام شخصية “ميخايلو غورييف” نفسه على أنه المؤسس المشارك والشريك الإداري لشركة استثمارية وهمية تدعى SolidBit Capital. تشير الرسائل إلى عمل المستهدفين العام في مجتمعات العملات المشفرة أو التمويل اللامركزي لبناء ثقة زائفة. ثم يتحول الحديث إلى مكالمة مجدولة، حيث يقوم رابط Calendly بإعادة توجيه الضحية بصمت إلى صفحة اجتماع Zoom مزيفة مصممة لتوصيل البرامج الضارة.
حملة ClickFix تستهدف متخصصي العملات المشفرة
قام محللو Moonlock بتحديد البنية التحتية وراء هذه الحملة وتتبعوا كل نطاق ضار إلى مسجل واحد: “أناتولي بيغداش”، المقيم في بوسطن، ماساتشوستس، باستخدام البريد الإلكتروني anatollibigdasch0717[at]gmail[.]com. بالإضافة إلى SolidBit Capital، كشف الباحثون عن واجهتين لشركات وهمية أخريين – MegaBit و Lumax Capital – كل منهما تمتلك مواقع ويب مصقولة، وصور شخصية تم إنشاؤها بالذكاء الاصطناعي، وتواريخ تأسيس ملفقة.
يشير النطاق lumax[.]capital، الذي تم تسجيله في 2 فبراير 2026، إلى أن الجهات الفاعلة في مجال التهديدات تستعد لهوية جديدة لنشرها بمجرد أن تصبح SolidBit مكشوفة للغاية. تقدم هذه الحملة حمولات عبر الأنظمة الأساسية لكل من macOS و Windows. في 9 يناير 2026، شارك أحد الضحايا الذي يستخدم المعرف X @0xbigdan لقطات شاشة للتفاعل الكامل، كاشفاً عن مؤشرات حمراء رئيسية – بما في ذلك انضمام غورييف إلى Google Meet حقيقي، وصمته التام، وانقطاعه في اللحظة التي عارض فيها الضحية.
تتشابه الأنماط التشغيلية عن كثب مع النشاط الذي عزاته Mandiant إلى UNC1069، وهو عامل تهديد ذو صلة مشتبه بها بكوريا الشمالية تم تتبعه منذ عام 2018، على الرغم من أن الإسناد النهائي هنا لا يزال مفتوحاً.
آلية توصيل ClickFix
ClickFix هي ما يحول التفاعل الروتيني إلى اختراق كامل للجهاز. عندما ينقر الضحية على رابط Zoom أو Google Meet المزيف، فإنهم يصلون إلى صفحة تشبه المنافذ الحقيقية – إما مؤتمر The Digital Asset Conference III أو صفحة مسجلة خطأً في Hedgeweek، وهو منشور شرعي لصناديق التحوط. يتم تراكب فوق هذه الصفحة مربع تحقق مزيف من Cloudflare “أنا لست روبوتًا”، تم بناؤه بالكامل من HTML و CSS محليين دون أي بنية تحتية حقيقية من Cloudflare خلفه.
في اللحظة التي ينقر فيها المستخدم على مربع الاختيار، تقوم JavaScript بكتابة أمر خبيث بصمت في حافظة الضحية عبر navigator.clipboard.writeText(). تقرأ البرمجة النصية سلسلة User-Agent للمتصفح لتحديد نظام التشغيل وتقدم حمولة مطابقة. على Windows، تتلقى الحافظة أمر PowerShell يقوم بإخفاء نافذته، ويتجاوز سياسات التنفيذ، ويستخدم Invoke-Expression لتشغيل نص برمجي عن بعد في الذاكرة – تاركاً لا شيء على القرص ليتم اكتشافه بواسطة برامج مكافحة الفيروسات.
على macOS، تقوم سطر واحد من bash بتثبيت Homebrew إذا كان Python 3 غائباً، وتنزيل نص برمجي Python من خادم القيادة والتحكم على hedgeweeks[.]online، وتشغيله باستخدام nohup bash للحفاظ على تشغيل العملية حتى بعد إغلاق الطرفية. قام باحثو Moonlock بتحليل ثنائي Mach-O مرتبط بهذه الحملة. الأول هو ثنائي مبهم بحجم 9.3 ميجابايت، معبأ برمجيات قمامة لإرباك أدوات التحليل الثابت مثل Ghidra. الثانية هي نسخة نظيفة غير مبهمة بحجم 37.6 كيلوبايت مع منطق أساسي متطابق.
تم تسجيل كلتا النسختين صفر اكتشافات عبر جميع بائعي مكافحة الفيروسات على VirusTotal لفترة طويلة، مما يؤكد أن التهرب هو جوهر كيفية تجنب هذه العملية للاكتشاف.
يجب على متخصصي العملات المشفرة والويب 3 الذين يتلقون رسائل غير مرغوب فيها على LinkedIn حول الاستثمار أو الشراكة التحقق قبل الرد. تحقق من وقت تسجيل نطاقات الشركات وافحص صور الفريق بحثًا عن إنشاءات الذكاء الاصطناعي. قم بتشغيل أي رابط خارجي لـ Zoom أو Calendly عبر ماسح URLs قبل النقر. لا تقم أبدًا بلصق أوامر في طرفية كجزء من أي خطوة تحقق – لا توجد خدمة حقيقية تطلب ذلك.
تعامل مع الاستعجال، والضغط للمغادرة من LinkedIn، أو التعليمات لتشغيل أوامر على جهازك كعلامات حمراء وانسحب قبل التصرف.