تحذير: برمجية ClickFix الخبيثة تتخفى في تحديث ويندوز وتسرق البيانات عبر صور PNG مُشفرة

أجرى مجرمو الإنترنت تحديثاً خطيراً على برمجية ClickFix الخبيثة، لتظهر الآن كأنها تحديث رسمي وضروري من نظام ويندوز، وذلك بهدف رئيسي هو خداع المستخدمين لدفعهم إلى لصق أمر برمجي ضار داخل نافذة التشغيل Run.

وتعتمد هذه النسخة الجديدة على تقنية متقدمة تستخدم صورة PNG تحتوي على بيانات مخفية، لتفعيل أدوات تجسس قادرة على سرقة معلومات حساسة مثل كلمات المرور والحسابات البنكية ومحافظ العملات الرقمية.

خدعة التحديث

كشف باحثو الأمن السيبراني في شركة Huntress عن تفاصيل هذا الإصدار الجديد من البرمجية الخبيثة، بعد ملاحظة أنها تعرض للمستخدمين صفحة متصفح بملء الشاشة، تُحاكي تماماً نافذة تحديث نظام ويندوز الرسمية، وتتضمن هذه الشاشة شريط تقدم يشير إلى اكتمال 95% من "تحديث أمني خطير"، ما يثير الخوف ويدفع المستخدمين للتفاعل السريع.

تنتشر هذه البرمجية غالباً في مواقع البالغين المزيفة التي تُقلّد المواقع الشهيرة، حيث تظهر للمستخدم على شكل إعلان مفاجئ أو نافذة تحقق من العمر، وبمجرد الضغط على هذا الإعلان الخادع، تظهر شاشة التحديث الوهمية مباشرة.

ويطلب البرنامج الخبيث من الضحية الضغط على اختصار Windows + R لفتح نافذة التشغيل، ثم لصق أمر برمجي كان قد تم نسخه تلقائياً إلى الحافظة، وهذا الإجراء يمنح القراصنة وصولاً إداريًا كاملاً إلى الجهاز المستهدف .

مراحل الهجوم

بعد تنفيذ الأمر، تبدأ مرحلة التشفير المعقدة، حيث يقوم الأمر بتشغيل أداة mshta المدمجة في ويندوز، وذلك باستخدام رابط خبيث يجلب الحمولة الضارة الفعلية من عنوان مشفر بنظام hex.

كما يستخدم البرنامج أوامر PowerShell بأكواد مشوشة ومليئة بالعشوائية، وتهدف هذه الخطوة إلى تعطيل أدوات الحماية الأمنية ومنع اكتشاف الهجوم من قبل برامج مكافحة الفيروسات.

تأتي المرحلة الأكثر تعقيدًا وإثارة للاهتمام عندما تقوم البرمجية بفك تشفير صورة PNG التي تم إخفاء الأوامر الخبيثة داخل بيانات بكسلاتها، لتستخرج منها أوامر خبيثة يتم حقنها لاحقاً في عمليات شرعية تعمل بالفعل على الجهاز، وهذه التقنية المبتكرة لإخفاء التعليمات البرمجية داخل بيانات الصور تزيد من صعوبة كشفها من قبل برامج الحماية، وتمثل تحديًا كبيراً للباحثين الأمنيين.

سرقة البيانات

بعد عملية الحقن الناجحة، تبدأ البرمجية بنشر أدوات تجسس متخصصة ومعروفة، مثل Rhadamanthys وLummaC2، وتتخصص هذه الأدوات في جمع البيانات الحساسة، بما في ذلك كلمات المرور المحفوظة، وبيانات الحسابات الشخصية، وأيضاً حركة لوحة المفاتيح (Keylogging)، لسرقة جميع المعلومات التي يتم إدخالها حديثًا، وتقوم هذه الأدوات بجمع هذه البيانات الحساسة ونقلها بشكل سري إلى خوادم خارجية يتحكم بها القراصنة.

يشير تقرير Huntress إلى أن هذا الإصدار المُحدث من ClickFix ينتشر بنشاط منذ بداية شهر أكتوبر، وأن العديد من المواقع المشبوهة لا تزال تستضيف هذه النافذة التحديث الوهمية بدرجات متفاوتة من التعقيد، ويُعد هذا الإصدار من ClickFix واحداً من أكثر أساليب سرقة البيانات ذكاءً وخطورة بسبب اعتماده على الهندسة الاجتماعية المعقدة والتقنيات المتقدمة لإخفاء الشفرات، ولذا يُنصح المستخدمون بضرورة تجنب الضغط على أي إعلانات أو نوافذ منبثقة مجهولة المصدر، وعدم تشغيل أو لصق أي أوامر برمجية غير موثوق بها، مع التحقق دائمًا من روابط الصفحات قبل التفاعل معها لضمان سلامتهم.