كشفت تقارير أمنية عن حملة تصيد إلكتروني متطورة تستغل رسائل خطأ مضللة لـ “Word Online”، بهدف خداع المستخدمين وتثبيت برامج ضارة خطيرة تعرف باسم “DarkGate”. تعتمد هذه الحملة على الهندسة الاجتماعية المتقدمة، مستفيدة من ثقة المستخدمين في الإجراءات التصحيحية المألوفة.
تختلف هذه الطريقة عن الهجمات التقليدية التي تعتمد على التحميل التلقائي، حيث تتطلب هذه الحملة من المستخدمين تنفيذ أوامر ضارة يدوياً. وتظهر الرسائل الخاطئة كإشعار بفقدان امتداد للمتصفح، مما يدفع المستخدمين للنقر على زر “كيفية الإصلاح” لحل المشكلة المفترضة.
حملة ClickFix تستهدف المستخدمين ببرمجيات DarkGate الخبيثة
تبدأ هذه الحملة عندما يزور المستخدم صفحة ويب مخترقة أو ضارة تعرض إشعاراً مزيفاً. تطالب الرسالة الضحية بفتح موجه أوامر PowerShell ولصق “أمر إصلاح”. دون علم المستخدم، يؤدي النقر على زر “كيفية الإصلاح” إلى تشغيل وظيفة JavaScript تقوم بنسخ نص برمجي ضار لـ PowerShell مباشرة إلى حافظة النظام.
تنجح هذه التقنية في تجاوز تدابير الأمان التقليدية للمتصفح من خلال استغلال إجراءات المستخدم الخاصة لبدء سلسلة العدوى. وقد حدد محللو Point Wild هذه الحملة، مشيرين إلى أن الاعتماد على تفاعل المستخدم يسمح بتجنب العديد من أنظمة الكشف الآلي.
بمجرد أن يقوم الضحية بلصق الأمر وتنفيذه، يقوم نص PowerShell البرمجي بجلب ملف HTA ضار من خادم بعيد. يعمل هذا الملف كمنصة لتسليم الحمولة النهائية، ويؤسس الاستمرارية ويجهز النظام لنشر DarkGate، وهو حصان طروادة قوي للوصول عن بعد قادر على اختراق النظام بالكامل.
التحليل التقني لسلسلة العدوى
يتضمن التنفيذ التقني لهذا الهجوم طبقات متعددة من التعتيم. تحتوي الصفحة الأولية على محتوى مشفر بـ Base64 يتم معالجته باستخدام دالة عكسية لإخفاء الهدف الحقيقي، كما هو موضح في إحدى الصور. عند فك تشفير الحمولة، تحتوي على أمر PowerShell يقوم بمسح ذاكرة DNS وتحميل المرحلة التالية.
iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64)));يقوم هذا الأمر بجلب ملف dark.hta من نطاق مخترق. عند التنفيذ، ينشئ ملف HTA دليلاً على القرص C ويضع ملفاً تنفيذياً ومكتوباً بـ AutoIt، واسمه fckhffh.a3x. يستخدم هذا النص البرمجي خوارزمية DES لفك تشفير حمولة DarkGate النهائية.
بعد ذلك، يبدأ البرنامج الضار الاتصال بخوادم التحكم والسيطرة، مما يكمل الاختراق ويمنح المهاجمين وصولاً غير مصرح به عن بعد إلى جهاز الضحية. وتؤكد هذه الحملة على أهمية اليقظة والحذر عند التعامل مع الإشعارات غير المتوقعة عبر الإنترنت، خاصة تلك التي تطلب إجراءات يدوية.