أسلوب FileFix يتجاوز حماية المتصفحات الحديثة
تم اكتشاف أسلوب هجوم جديد يستغل تقنية ClickFix من خلال استغلال كيفية حفظ المتصفحات الحديثة لملفات HTML، متجاوزًا آلية أمان رئيسية، مما يُخدع المستخدمين للمشاركة في توصيل محتوى ضار عبر هجمات تصيد بنقرة واحدة.
أطلق على هذا الأسلوب اسم FileFix 2.0 من قبل mr.d0x، وهو مختبر اختراق وباحث أمني اكتشفه، حيث يقوم هذا الأسلوب بالتلاعب بكيفية حفظ المتصفحات لمحتوى HTML بطريقة قد تجعل المستخدمين يقومون عن غير قصد بتنزيل ملفات ضارة على أجهزتهم، مما يؤدي إلى حدوث هجوم.
شارك الباحث مؤخرًا منشورين منفصلين على مدونته حول FileFix، موضحًا كيف تستخدم نسختان من أسلوب الهجوم تقنية bait-and-switch مع متصفحات حديثة مثل جوجل كروم ومايكروسوفت إيدج. يعتمد الهجوم أساسًا على كيفية حفظ ملفات HTML بدون بيانات وصفية رئيسية قد تُنبه الأشخاص إلى نشاط مشبوه، مما يسمح للمهاجمين بتبديل الملفات الشرعية بأخرى ضارة تقوم بتنفيذ تعليمات برمجية عشوائية.
قال mr.d0x في المدونة الثانية: "أثناء تحليل سلوك كروم وإيدج، لاحظت ملاحظة مثيرة للاهتمام. عندما يتم حفظ صفحة HTML باستخدام Ctrl+S أو بالنقر بزر الفأرة الأيمن > 'حفظ باسم' واختيار أي من نوعي 'صفحة ويب، ملف واحد' أو 'صفحة ويب، كاملة'، فإن الملف الذي تم تنزيله لا يحتوي على MoTW (علامة الويب)."
MoTW هو معرف بيانات وصفية يُستخدم من قبل نظام ويندوز لتحديد الملفات التي تم تنزيلها من الإنترنت على أنها قد تكون غير آمنة. إذا قام شخص ما بتنزيل ملف من الإنترنت بدون MoTW، فمن المحتمل ألا يكون على علم إذا كان يحتوي على محتوى ضار. من خلال تجاوز هذه الحماية، يمكن لمهاجم استخدام FileFix لتوصيل البرمجيات الخبيثة للمستخدمين غير المدركين من خلال هجوم هندسة اجتماعية يقنعهم بضرورة أو أهمية تنزيل الملف.
أسلوب FileFix في الهندسة الاجتماعية
تعتبر ClickFix أسلوب هجوم تم تفصيله لأول مرة من قبل الباحثين في Proofpoint العام الماضي، حيث تعرض المواقع المخترقة المستخدمين لرسائل خطأ مزيفة عن طريق تنفيذ تعليمات برمجية PowerShell، مما يخدعهم للاعتقاد أنهم بحاجة لإصلاح مشكلة تحديث المتصفح. لكن في الواقع، فإن تثبيت "التحديث" ينفذ برمجيات خبيثة على أجهزتهم. منذ اكتشافه، اكتسب هذا الأسلوب شعبية بين المهاجمين.
طور mr.d0x أسلوبًا مشابهًا لـ FileFix الذي، مثل ClickFix، يستخدم الهندسة الاجتماعية لجعل مستخدمي المتصفح يشاركون في هجومهم الضار. في إحدى النسخ التي وصفها، طور صفحة ويب تطلب من الأشخاص حفظ صفحة ويب HTML تعرض رموز النسخ الاحتياطي الخاصة بهم — وهي طريقة يمكن تطبيقها على كل من مستخدمي الويب العاديين وموظفي الشركات. تحاكي الصفحة عناصر شرعية من صفحات مصادقة جوجل ومايكروسوفت، مما يجعل الأشخاص يعتقدون حقًا أنهم يقومون بحفظ تفاصيل أمان حيوية على نظامهم. بدلاً من ذلك، سيقومون بحفظ صفحات HTML ضارة يمكن أن تنفذ تعليمات برمجية عشوائية على أنظمتهم.
في طريقة FileFix، عندما يقوم شخص ما بحفظ صفحة تحتوي على رموز النسخ الاحتياطي الخاصة بهم باستخدام Ctrl+S، سيقوم المتصفح تلقائيًا بتعيين اسم الملف المحفوظ الافتراضي ليكون ما هو موجود في عنصر
التحول الضار
"الآن إذا كان
لزيادة احتمالية نجاح الهجوم، يمكن للمهاجم تعيين العنوان إلى شيء مثل _.hta، مما يحفز المستخدم على تعديل الخط السفلي واستبداله باسم مناسب، كما أوضح الباحثون.
إذا اكتشف المدافعون ذلك وبدؤوا في وضع علامة على الموقع لمجرد أن العنوان ينتهي بـ ".hta"، يمكن للمهاجمين إزالة عنصر
تخفيف الهجوم
لم يذكر mr.d0x في أي من منشوراته حول FileFix إذا كان قد اتصل بجوجل ومايكروسوفت بشأن الهجوم، ولم يكن بالإمكان الوصول إليه على الفور للتعليق من قبل Dark Reading. يخطط الباحث لإصدار تفاصيل حول نسخة أخرى من الهجوم قريبًا، وفقًا لمنشوراته.
لم تستجب جوجل على الفور لطلب Dark Reading للتعليق على الهجوم يوم الأربعاء.
قدمت متحدثة باسم مايكروسوفت البيان التالي: "تتطلب هذه التقنية في الهندسة الاجتماعية من المهاجم خداع المستخدم لنسخ أوامر ضارة محددة إلى مواقع غير شائعة في ويندوز. نحن نراقب باستمرار مشهد التهديدات لتقنيات مثل هذه وننفذ تدابير أمان متعددة كجزء من استراتيجيتنا للدفاع المتعمق لمساعدة عملائنا على البقاء محميين. كأفضل ممارسة في الأمان، نشجع العملاء على ممارسة عادات حوسبة جيدة عبر الإنترنت، بما في ذلك توخي الحذر عند تنزيل الملفات أو اتباع التعليمات أو تنفيذ الأوامر من مصادر غير مألوفة."
لمنع أسلوب الهجوم الذي يستخدم ملفات .hta من العمل، يمكن للمدافعين إزالة mshta.exe من القدرة على تشغيل ملفات .hta، وفقًا للباحث. "هذه حل جيد ما لم يتمكن شخص ما من استخدام هذه التقنية مع أنواع ملفات أخرى"، كتب mr.d0x.
للدفاع ضد كل من ClickFix وFileFix بشكل عام، يجب على المنظمات أيضًا مراقبة المتصفحات لأي عمليات فرعية مشبوهة، مثل cmd.exe وpowershel.exe وmshta.exe، كما أضاف الباحث.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!