هجوم “كليك فيكس” الوهمي ينتشر مخترقاً أنظمة الشركات بالبرمجيات الخبيثة

كشفت حملة هجمات سيبرانية متطورة تستخدم الهندسة الاجتماعية المسماة “ClickFix” عن تهديد خطير لشبكات الشركات على مستوى العالم. وتتزايد هذه الحملات الضخمة بشكل ملحوظ، حيث تخدع المستخدمين لتنفيذ تعليمات برمجية خبيثة تحت ستار حل خطأ تقني وهمي.

أخيرًا، وقعت إحدى المؤسسات البولندية الكبيرة ضحية لهذا المخطط، مما يوضح كيف يمكن لخطأ واحد من قبل المستخدم أن يعرض البنية التحتية بأكملها للشركة للخطر. يتضمن ذلك استخدام هذا النوع من الهندسة الاجتماعية للوصول إلى البيانات الحساسة.

يتميز المتجه الهجومي بالخداع الشديد. يواجه المستخدمون الذين يزورون مواقع ويب مخترقة طلبًا وهميًا للتحقق من CAPTCHA أو خطأ، غالبًا ما يحاكي واجهات Google Chrome أو Microsoft Word. يوجه هذا الطلب الضحية إلى “إصلاح” المشكلة عن طريق نسخ نص برمجي معين من PowerShell وتنفيذه يدويًا عبر مربع حوار Windows Run (Win+R).

من خلال الاعتماد على المستخدم لتنفيذ التعليمات البرمجية بنشاط، ينجح المهاجمون في تجاوز إجراءات الأمان القياسية للمتصفح ومرشحات التنزيل الآلية. هذا النهج يسمح بهجمات ClickFix بالانتشار.

عند التنفيذ، يقوم النص البرمجي الملصق بتنزيل برنامج إسقاط (dropper) يبدأ سلسلة العدوى. حدد محللو Cert.pl البرمجيات الخبيثة بعد الفقرة الثانية من تحقيقهم، مشيرين إلى حركة مرور مشبوهة صادرة من المضيف المخترق. كشف تحليلهم أن أمر PowerShell الأولي يسترجع حمولة خبيثة من نطاق بعيد، مما يؤسس بشكل فعال موطئ قدم داخل الشبكة.

أكد الباحثون أنه بينما يعتمد المتجه الأولي على تفاعل المستخدم، فإن المراحل الآلية اللاحقة سريعة ويصعب إيقافها دون مراقبة سلوكية قوية. ويشكل هذا مدى خطورة هجمات ClickFix.

آلية الإصابة وتكتيكات التهرب لـ ClickFix

تستخدم البرمجيات الخبيثة تقنيات تهرب متقدمة، وتعتمد بشكل أساسي على تحميل DLL الجانبي (DLL side-loading) لإخفاء وجودها. في الحادثة التي تم تحليلها، أسقط المهاجمون ملفًا تنفيذيًا شرعيًا igfxSDK.exe جنبًا إلى جنب مع ملف wtsapi32.dll خبيث في دليل %APPDATA%Intel.

عند تشغيل التطبيق الشرعي، يقوم تلقائيًا بتحميل المكتبة الخبيثة، مما يسمح بتنفيذ التعليمات البرمجية ضمن سياق عملية موثوق بها. تقوم هذه التقنية بإخفاء النشاط الخبيث بفعالية من العديد من حلول الكشف الأساسية عن نقاط النهاية. علاوة على ذلك، فإن متغير Latrodectus المحدد يستخدم آليات كبيرة لمكافحة التحليل.

يقوم بإلغاء ربط NTDLL (NTDLL unhooking) لإزالة خطاطيف المراقبة التي تضعها برامج مكافحة الفيروسات، مما يعمي أدوات الأمان عن أنشطتها. تتحقق البرمجيات الخبيثة أيضًا من بيئات الصندوق الرملي (sandbox) وترفض التنفيذ إذا تم تشغيلها بواسطة أدوات النظام القياسية مثل rundll32.exe. تعتبر هجمات ClickFix مدمرة.

تشمل التوصيات حظر تنفيذ النصوص البرمجية غير الموثقة، ومراقبة نشاط PowerShell غير العادي، وتثقيف الموظفين حول مخاطر “إصلاح” أخطاء المتصفح عبر مربع الحوار Run. يجب على مسؤولي الشبكة أيضًا حظر عناوين IP المعروفة للقيادة والتحكم (C2) المرتبطة بعائلتي برامج Supper و Latrodectus.