تطورت أساليب الهجمات السيبرانية بشكل كبير، حيث بات المهاجمون يستخدمون تقنية “ClickFix” المضللة جنباً إلى جنب مع تقنيات إخفاء المعلومات المتقدمة (Steganography) لتمويه حمولاتهم الضارة داخل ملفات الصور من نوع PNG. يشكل هذا النهج المتطور، الذي اكتشفه محللو شركة Huntress، تحولاً ملحوظاً في كيفية قيام المجرمين الإلكترونيين بتوصيل برامج التجسس وسرقة المعلومات إلى المستخدمين غير المتوقعين.
تعتمد حملة ClickFix على سلسلة من المراحل الهجومية المعقدة التي تهدف إلى خداع المستخدمين لتنفيذ أوامر يدوياً عبر مربع حوار “تشغيل” (Run) في نظام ويندوز. تبدأ الحملة عندما يتعرض الضحايا لإغراءات مقنعة، مثل شاشات التحقق المزيفة من كونهم روبوتات أو إشعارات تحديث ويندوز تبدو حقيقية.
تُوجّه هذه الصفحات المستخدمين للضغط على مفتاح Win+R لفتح مربع “تشغيل”، ثم لصق أمر معين تم نسخه تلقائياً إلى حافظة النظام. وبمجرد تنفيذ هذا الأمر الأولي، تبدأ سلسلة خطيرة من الأحداث التي تؤدي في النهاية إلى تثبيت برامج ضارة على نظام الهدف.
لاحظ محللو وباحثو Huntress ظهور هذه البرامج الضارة في أكتوبر 2025، مع تطور الحملات عبر متغيرين متميزين. فقد تم تجاوز الإغراءات الأولية لـ “التحقق البشري” (Human Verification) لتظهر شاشات تحديث ويندوز مزيفة أحدث وأكثر إقناعاً، تحاكي تحديثات Microsoft الرسمية في وضع ملء الشاشة، بما في ذلك رسوم متحركة واقعية لـ “جارٍ العمل على التحديثات” قبل مطالبتهم بتنفيذ أمر ClickFix.
إخفاء الحمولات الضارة بتقنية Steganography
الجزء الأكثر إثارة للاهتمام في هذه الحملة هو كيفية إخفاء الجهات التهديدية لمراحل البرامج الضارة النهائية. فبدلاً من إلحاق البيانات الخبيثة بالصور بطرق تقليدية، يستخدم المهاجمون خوارزمية Steganography مخصصة لتشفير الشفرة النصية (shellcode) مباشرة داخل بيانات بكسلات صور PNG. تعتمد هذه التقنية على قنوات الألوان المحددة، وخاصة القناة الحمراء، لإعادة بناء الشفرة وفك تشفيرها بالكامل في الذاكرة.
تبدأ آلية الإصابة بأمر mshta.exe يتضمن عنوان IP مشفر بصيغة سداسية عشرية (hex-encoded) في الجزء الثاني من العنوان. يقوم هذا الأمر بتشغيل برنامج تحميل (loader) يعتمد على PowerShell، والذي يقوم بفك تشفير وتحميل تجميعة .NET (NET assembly) بشكل انعكاسي. تعمل هذه التجميعة كبرنامج تحميل Steganographic، حيث تستخرج الشفرة النصية المخفية داخل صورة PNG مشفرة مدرجة كمورد في البيان (manifest resource).
تستخدم عملية الاستخراج بيانات البكسل الخام للصورة، مع حساب الإزاحات لكل صف وعمود، ثم تقوم بتطبيق عملية XOR على قيمة القناة الحمراء مع الرقم 114 لاسترداد بايتات الشفرة النصية المشفرة. يتم بعد ذلك حزم الشفرة النصية المستخرجة باستخدام Donut، وهو برنامج حزم شفرات نصية يتيح تنفيذ تجميعات .NET في الذاكرة.
وثق باحثو Huntress أن حمولات البرامج الضارة النهائية التي يتم تسليمها عبر هذه الآلية تتضمن برامج سرقة معلومات مثل LummaC2 و Rhadamanthys، المصممة لجمع بيانات المستخدم الحساسة ومعلومات مالية. توضح هذه الحملة كيف تواصل الجهات التهديدية الابتكار في قدراتها على التهرب من الكشف.
من خلال إخفاء الحمولات الضارة داخل بيانات بكسلات الصور بدلاً من هياكل الملفات التقليدية، يعمد المهاجمون إلى تعقيد التحليل والتهرب من أنظمة الكشف القائمة على التوقيعات. ومع ذلك، لا تزال هذه الهجمات تعتمد على الضعف الأساسي للهندسة الاجتماعية – إقناع المستخدمين بتنفيذ الأوامر يدوياً.
يجب على المؤسسات إعطاء الأولوية لتدريب الوعي لدى المستخدمين، والنظر في تعطيل مربع حوار “تشغيل” في ويندوز من خلال تعديلات السجل (registry modifications) أو سياسات المجموعة (Group Policy) لمنع نجاح هذا المسار الهجومي.