ظهرت حملة برمجيات خبيثة جديدة تستهدف مستخدمي أنظمة ويندوز، مستخدمة أسلوب هندسة اجتماعية يعرف باسم “ClickFix”. تعتمد هذه الحملة على صفحة تحقق مزيفة من المتصفح لخداع المستخدمين وتشغيل أمر بصمت يقوم بتنزيل وإلحاق برنامج وصول عن بعد (RAT) مبني على Node.js، ويتصل بخادم القيادة والتحكم عبر شبكة Tor.
يهدف التركيز المتزايد على هذه التهديدات السيبرانية إلى تسليط الضوء على الأساليب المتطورة التي يستخدمها المهاجمون. برنامج الوصول عن بعد الجديد يبدو مصمماً للتسلل والتخفي، مما يجعل اكتشافه صعباً على أدوات الأمان التقليدية.
حملة ClickFix تستخدم Node.js RAT
ظهرت تقنية ClickFix كطريقة توزيع واعدة في بدايات عام 2025، حيث استخدمها جهات فاعلة في مجال التهديدات لدفع عائلات برمجيات خبيثة معروفة مثل LegionLoader و LummaStealer إلى أجهزة الضحايا.
تعمل هذه التقنية عن طريق عرض صفحة مزيفة للتحقق من الهوية أو آلية CAPTCHA، ثم تطالب المستخدم بنسخ وتشغيل أمر من حافظة النظام يدوياً.
في هذه الحملة الأخيرة، يقوم هذا الأمر بتشغيل نص برمجي PowerShell مشفر بترميز Base64. يقوم النص بتنزيل ملف تثبيت خبيث، يسمى NodeServer-Setup-Full.msi، من نطاق وهمي ويقوم بتثبيته بصمت في الخلفية دون أي ظهور مرئي.
يشير باحثون في Netskope Threat Labs، الذين تتبعوا هذه الحملة، إلى أن هذه النسخة تختلف بشكل واضح عن عمليات ClickFix السابقة بسبب تصميمها الأكثر تطوراً.
يتم بناء برنامج الوصول عن بعد (RAT) على إطار عمل Node.js معياري، مما يعني أن أهم قدراته الخطيرة لا يتم تخزينها أبداً على القرص الصلب لجهاز الضحية. يتم توصيل هذه القدرات بالكامل في الذاكرة فقط بعد أن ينشئ البرنامج الخبيث اتصالاً ناجحاً بخادم القيادة والتحكم الخاص به.
هذا يسمح له بتجاوز عمليات الفحص الأمنية التقليدية بسهولة نسبية.
البنية التحتية الإجرامية وراء الهجمات
ما يجعل هذه الحملة مقلقة بشكل خاص هو البنية التحتية الإجرامية التي تدعمها. قام المهاجمون ببناء منصة “برمجيات خبيثة كخدمة” (Malware-as-a-Service) يمكن لعدة جهات تشغيل الوصول إليها ونشرها ضد مجموعات خاصة بها من الضحايا.
كشف خطأ في الإجراءات الأمنية من قبل الجهات الفاعلة في مجال التهديدات عن لوحة تحكم إدارية جانبية للخادم بطريق الخطأ. aceasta كشف عن ميزات لتتبع محافظ العملات المشفرة، وإدارة مشغلين متعددين مع ضوابط وصول تعتمد على الأدوار، ودفع وحدات مخصصة إلى الأجهزة المصابة، وإرسال تنبيهات فورية عبر Telegram كلما اتصل ضحية جديد.
يقوم البرنامج الخبيث أيضاً ببناء ملف تعريف شامل لكل جهاز مصاب. يقوم بجمع إصدار نظام التشغيل، وتفاصيل الأجهزة، والموقع الجغرافي، وعنوان IP الخارجي، وقائمة كاملة بأدوات الأمان النشطة حالياً على النظام. تساعد خطوة البصمة هذه المشغلين في تحديد الضحايا الذين يستحقون المتابعة.
يقوم البرنامج الخبيث بفحص أكثر من 30 منتجاً للأمان، بما في ذلك برامج مكافحة الفيروسات وحلول أمان نقاط النهاية مثل CrowdStrike و Kaspersky و SentinelOne و Windows Defender.
آلية الإصابة واستمراريته
بمجرد تشغيل مثبت MSI، يقوم البرنامج الخبيث باستخراج ملفاته في مجلد %LOCALAPPDATA%LogicOptimizer. بعد ذلك، يقوم بإنشاء إدخال استمرارية ضمن مفتاح تشغيل سجل ويندوز (Windows Registry Run key).
هذا يضمن تشغيله تلقائياً في كل مرة يقوم فيها المستخدم بتسجيل الدخول.
يستخدم البرنامج عملية conhost.exe في وضع عدم وجود واجهة مرئية لتشغيل Node.js بصمت، مما يحافظ على العملية بأكملها غير مرئية للمستخدم. يتجنب هذا النهج أي تنبيهات على شريط المهام أو نوافذ قد تثير الشكوك وتكشف الإصابة.
قبل الاتصال بخادم القيادة والتحكم (C2)، يمر البرنامج الخبيث عبر طبقات متعددة من فك التشفير باستخدام خوارزميات AES-256-CBC و XOR للكشف عن بيانات تكوينه الكاملة.
تتم إعادة خلط مفاتيح التشفير أيضاً مع كل تنفيذ، مما يمنع المحللين من عكس هندسة التكوين بالأساليب الثابتة. بمجرد فك تشفير التكوين، يكشف عن عنوان خدمة Tor المخفية .onion كوجهة لخادم C2.
للوصول إلى هذا الخادم، يقوم البرنامج الخبيث بتنزيل حزمة Tor Expert Bundle مباشرة من موقع مشروع Tor الرسمي. ثم يقوم بإنشاء وكيل SOCKS5 على الجهاز المحلي.
بعد ذلك، يتصل باستخدام gRPC، وهو بروتوكول تدفق يسمح بالاتصال في الوقت الفعلي ثنائي الاتجاه بين الجهاز المصاب ومشغل C2.
يتم دفع جميع وحدات السرقة والأوامر من الخادم كسلاسل نصية JavaScript، ويتم تنفيذها في بيئة Node.js معزولة في الذاكرة، ولا تكتب أبداً على القرص. تقوم عملية مراقبة مدمجة بمراقبة الاتصال وإعادة تشغيله تلقائياً إذا انقطع.
يجب على فرق الأمان مراقبة نقاط النهاية بحثاً عن عمليات Node.js أو conhost.exe غير المتوقعة، وحركة مرور Tor غير العادية على الشبكة، وأي إدخالات جديدة في مفاتيح تشغيل السجل (Registry Run keys).
يجب على المؤسسات أيضاً حظر الاتصالات الصادرة إلى نطاقات .onion وتمييز أي ملفات MSI يتم تنزيلها بصمت عبر PowerShell.
يظل تدريب توعية المستخدم أمراً بالغ الأهمية، حيث تعتمد هجمات ClickFix بالكامل على خداع الأفراد لتشغيل أوامر لا يفهمونها.