كشفت فرق أمن معلومات عن موجة هجمات جديدة من نوع ClickFix، تستغل الآن تطبيق Windows Terminal لتوصيل برمجيات خبيثة مباشرة إلى أجهزة الضحايا. هذه الطريقة المبتكرة تجعل اكتشاف التهديدات أكثر صعوبة، نظراً لاستخدامها بيئة سطر أوامر تبدو مألوفة لدى المستخدمين.
في تكراراتها السابقة، اعتمدت هجمات ClickFix على خداع المستخدمين عبر واجهة “تشغيل” (Run dialog) في ويندوز. إلا أن هذه الحملة الحديثة تدفع المستخدمين لفتح بيئة أوامر ذات صلاحيات مرتفعة بأنفسهم، مما يزيد من مصداقية الهجوم وصعوبة تحديده.
هجمات ClickFix الجديدة تستغل Windows Terminal
ظهرت هجمات ClickFix لأول مرة في أوائل عام 2024، عندما رصد باحثون تسليمها لرسائل خطأ وهمية للمتصفح، تهدف إلى خداع المستخدمين لتشغيل أوامر ضارة. انتشرت هذه التقنية بسرعة، وشهدت ESET زيادة بنسبة 517% في هجمات ClickFix خلال عام 2025، مما وضعها في المرتبة الثانية بعد التصيد الاحتيالي كأداة هجوم عالمية.
عادةً ما يصمم المهاجمون صفحات CAPTCHA مزيفة، أو إشعارات استكشاف الأخطاء وإصلاحها، أو تنبيهات أمنية عاجلة، لتشجيع الضحايا على اتخاذ إجراء فوري دون التفكير ملياً.
وقد حدد محللو Microsoft Threat Intelligence في فبراير 2026 حملة ClickFix واسعة النطاق تستهدف بشكل خاص Windows Terminal كبيئة تنفيذ جديدة. بدلاً من توجيه الضحايا إلى واجهة “تشغيل” التقليدية عبر Win + R، تدعوها هذه الحملة لاستخدام اختصار Win + X ثم الضغط على “I” لفتح Windows Terminal مباشرة.
هذا الأسلوب يمكّن المهاجمين من التحايل على أدوات الأمان المصممة لرصد إساءة استخدام واجهة “تشغيل”، بينما يضع الضحايا داخل بيئة سطر أوامر تشبه العمل الروتيني لتقنية المعلومات.
التأثير الكارثي لهجمات ClickFix
وفقاً لتقرير Defending Digital of Microsoft لعام 2025، أصبحت ClickFix الآن الطريقة الرائدة للوصول الأولي، مسؤولة عن 47% من جميع الهجمات التي تتبعها Microsoft Defender Experts، متجاوزة بذلك التصيد الاحتيالي التقليدي الذي يمثل 35%.
الحمولة النهائية في هذه الحملة الأخيرة هي Lumma Stealer، وهي برمجية خبيثة تستهدف سرقة بيانات الاعتماد، مصممة لاستخراج أسماء المستخدمين المحفوظة وكلمات المرور وبيانات المتصفح الحساسة من Chrome و Edge.
هذه الحملة خاصة بمستخدمي ويندوز، ولأنها تستغل السلوك البشري بدلاً من ثغرة برمجية، لا يوجد لها تصحيح برمجي تقليدي. يظل الوعي الأمني وضوابط السياسة الصارمة هما الدفاع الأكثر فعالية ضد هذا النوع من الهجمات.
كيف يتكشف تسلسل الإصابة
تبدأ الهجمة بلحظة زيارة الضحية لموقع ويب مخترق أو خبيث. يقوم JavaScript مخفي يعمل خلف الصفحة بنسخ أمر PowerShell مشفر بصيغة Hex ومضغوط بـ XOR إلى حافظة المستخدم بصمت، دون أي مؤشر مرئي.
بعد ذلك، تظهر صفحة CAPTCHA مزيفة أو إعلان تحقق على الشاشة، تنتحل صفة علامات تجارية موثوقة مثل Cloudflare أو Microsoft، وتطالب المستخدم بفتح Windows Terminal ولصق ما في حافظته “لإصلاح” مشكلة مزعومة.
بمجرد دخول الأمر إلى Windows Terminal، تقوم عملية PowerShell بفك ضغط البرمجية النصية بالكامل في الذاكرة وتبدأ في إجراء اتصالات خارجيه بخوادم يتحكم فيها المهاجمون. ثم تقوم بتنزيل ملف تنفيذي لـ 7-Zip مع إعادة تسميته، وأرشيف ZIP يحتوي على المرحلة التالية من الهجوم. يتم استخراج الملف وتنفيذه بصمت، دون ظهور أي نوافذ تنبيهية للضحية، مما لا يترك له أي سبب للاشتباه بحدوث خطأ.
تؤسس البرمجية الخبيثة بعد ذلك استمراريتها عبر كتابة مهمة مجدولة تعمل في كل مرة يعاد فيها تشغيل النظام. يتم إسقاط Lumma Stealer في المسار C:ProgramDataapp_configctjb وتستخدم تقنية حقن QueueUserAPC() لإدماج نفسها في عمليات المتصفح النشطة، بما في ذلك chrome.exe و msedge.exe.
بمجرد اندماجها في هذه العمليات، تقوم بقراءة ملفات Login Data و Web Data المخزنة بواسطة المتصفح، لتجمع بيانات الاعتماد المحفوظة وإدخالات الملء التلقائي الحساسة قبل إرسال كل شيء إلى البنية التحتية عن بعد للمهاجم.
يجعل wt.exe (ملف Windows Terminal التنفيذي) الاكتشاف أكثر صعوبة، نظراً لأنه مكون نظام موثوق به على العديد من أجهزة ويندوز. قد لا تقوم أدوات مراقبة الأمان فوراً بتمييز نشاط PowerShell الذي تنشئه Windows Terminal، مما يمنح المهاجم وقتاً غير مكتشف لإكمال سلسلة الإصابة الكاملة.
لتقليل التعرض لهذا التهديد، يجب تدريب الموظفين على عدم لصق الأوامر أبداً في أي طرفية يطلب منها موقع ويب. يجب تقييد Windows Terminal و PowerShell للحسابات الإدارية عبر سياسة المجموعة (Group Policy).
يجب على فرق الأمان فحص مفاتيح التسجيل الموجودة تحت HKCUSoftwareMicrosoftWindowsCurrentVersionRun بانتظام، ومراجعة Task Scheduler في ويندوز بحثاً عن المهام المجدولة غير المعروفة.
يجب تكوين أدوات اكتشاف نقاط النهاية لمراقبة وتنبيه عمليات PowerShell التي تم إنشاؤها بواسطة wt.exe، ويجب تحديث تعريفات برامج مكافحة الفيروسات بانتظام عبر جميع نقاط النهاية.