أخرى
#ClickFix
#DCRat
هجمات ClickFix: خداع جديد يستهدف قطاع الضيافة
ظهرت هجمة جديدة تُعرف باسم ClickFix تستهدف عملاء قطاع الضيافة، مستخدمة سلسلة عدوى متعددة المراحل تجمع بين تحديات captcha الزائفة واستغلال شاشة الموت الزرقاء الشهيرة لنظام Windows.
حدد الباحثون من Securonix الحملة، المعروفة باسم PHALT#BLYX، والتي تستخدم أساليب زائفة تشبه حجوزات الإلغاء من Booking.com لخداع الضحايا لتنفيذ أوامر PowerShell ضارة تقوم بتسليم البرمجيات الخبيثة. وقد تم الكشف عن ذلك في مدونة نُشرت يوم الاثنين. في النهاية، تقوم الحملة بنشر DCRat، وهو حصان طروادة للوصول عن بُعد مرتبط بروسيا.
خلال الهجمة، تستغل الحملة شاشة الموت الزرقاء، التي تظهر بعد تحدي captcha الزائف، وهو سمة نموذجية لهجمات ClickFix. كتب فريق Securonix في المدونة: "إنها خدعة لـ click-fix تنفذ أمر PowerShell لتنزيل ملف proj."
تستغل الهجمة أيضًا أداة موثوقة داخل بيئة Windows، وهي MSBuild.exe، لتجميع وتنفيذ الحمولة، والتي هي نسخة مُعقدة للغاية من DCRat، قادرة على process hollowing، وتسجيل ضغطات المفاتيح، والوصول عن بُعد بشكل دائم، وإسقاط حمولات ثانوية، كما كتب الباحثون.
تستخدم الصفحة الزائفة للحجز رسوم الفنادق بالعملة الأوروبية اليورو، مما يشير إلى أن الأهداف تقع في تلك المنطقة. في الوقت نفسه، يستخدم المهاجمون أيضًا اللغة الروسية في جوانب من الهجوم، مما يدل على أنهم من الفاعلين المهددين من روسيا أو من دولة ناطقة بالروسية التي تستخدم عادةً DCRat، المعروف أيضًا باسم Dark Crystal RAT. تم إنشاء البرمجيات الخبيثة بواسطة مطور روسي وقد تم استخدامها سابقًا ضد أوكرانيا من قبل مجموعة تهديد تُعرف باسم UAC-0200.
هجمات ClickFix هنا لتبقى
ClickFix هي طريقة هجوم تم تفصيلها لأول مرة من قبل الباحثين في Proofpoint في عام 2024، حيث تعرض المواقع المخترقة رسائل خطأ زائفة للمستخدمين عبر تنفيذ كود PowerShell، مما يخدعهم عبر الهندسة الاجتماعية للاعتقاد بأن عليهم تثبيت تحديث للمتصفح. في الواقع، تثبيت "التحديث" ينشر البرمجيات الخبيثة على الجهاز.
منذ اكتشافها، أدت هذه التقنية إلى اعتماد سريع بين الفاعلين المهددين، وقطاع الضيافة هو واحد من العديد من القطاعات المستهدفة من قبل الحملات التي تستخدم ClickFix. في الواقع، استخدمت حملة حديثة موسم عطلة عيد الميلاد — أحد أكثر الأوقات ازدحامًا في القطاع — لاستهداف الأشخاص من خلال إرسال رسائل تصيد تحتوي على روابط لموقع زائف لحجز الإقامة.
ظهرت أولى بقايا حملة PHALT#BLYX قبل عدة أشهر، مع تطور في سلسلة الهجوم يظهر نية المهاجمين في التهرب من الاكتشاف والحفاظ على وجود طويل الأمد، كما أشار الباحثون. كتبوا: "تسمح المناورة النفسية، جنبًا إلى جنب مع إساءة استخدام الثنائيات النظامية الموثوقة مثل MSBuild.exe، للعدوى بتأسيس موطئ قدم عميق داخل نظام الضحية قبل أن تتمكن الدفاعات التقليدية من الرد."
يبدو أن المهاجمين يمتلكون أيضًا "فهمًا عميقًا" لحماية النقاط النهائية الحديثة، كما يتضح من التعقيد الفني لسلسلة العدوى، واستخدام ملف مشروع MSBuild مخصص لتوجيه التنفيذ، و"التلاعب العدواني باستثناءات Windows Defender"، كما أشار الباحثون.
كتبوا: "علاوة على ذلك، فإن الحمولة النهائية لا تُسقط فقط، بل تُحقن في عمليات مشروعة مثل aspnet_compiler.exe، مما يُخفي النشاط الضار خلف واجهة العمليات النظامية القياسية."
الدفاع ضد ClickFix
مع هجمات ClickFix التي تأتي بسرعة وبشدة منذ اكتشاف التكتيك — وأصبحت حملات التصيد بشكل عام أكثر تعقيدًا وتفاديًا — حث الباحثون المؤسسات على تعزيز وعي المستخدمين بها حتى لا يقوموا بطريق الخطأ بإصابة الشبكات المؤسسية بـ RATs أو برمجيات خبيثة أخرى.
على وجه التحديد، نصحوا بتحذير الموظفين من اتباع التعليمات للنسخ واللصق كود البرمجة في حوار تشغيل Windows أو محطات PowerShell، "خاصةً عندما يُطلب منهم ذلك من صفحات خطأ المتصفح"، كما كتب الباحثون في المدونة. يجب أيضًا توجيههم لممارسة الحذر العام عند مواجهة رسائل البريد الإلكتروني التي تدعي أنها من خدمات الضيافة، خاصةً عندما تتضمن "مطالبات مالية عاجلة"، كما أشاروا.
للدفاع ضد حملة PHALT#BLYX وتكتيكاتها بشكل خاص، يجب على المؤسسات تمكين رؤية امتدادات الملفات في Windows وتنفيذ مراقبة صارمة لـ MSBuild.exe، خاصةً في الحالات التي ينفذ فيها ملفات المشروع من دلائل غير قياسية. يجب عليهم أيضًا مراقبة الثنائيات النظامية المشروعة، مثل aspnet_compiler.exe، وRegSvcs.exe، وRegAsm.exe، بحثًا عن سلوكيات غير عادية مثل إجراء اتصالات شبكة خارجية إلى عناوين IP غير معروفة على منافذ غير قياسية. كما قدمت مدونة Securonix استعلامات بحث يمكن لعملائها استخدامها لفحص نقاط النهاية عن النشاط الضار المتعلق بالحملة.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!