مايكروسوفت
#أمن_سيبراني
#مايكروسوفت
تحذير: هجمات ClickFix تستغل أدوات ويندوز لنشر برمجية خبيثة
كشفت تقارير أمنية حديثة عن حملة خبيثة جديدة تدمج بين طريقة "ClickFix" واختبارات التحقق البشري (CAPTCHA) المزيفة، مستغلةً سكربتات "Microsoft App-V" الموقعة رسمياً لنشر برمجية سرقة المعلومات المعروفة باسم "Amatera".
آلية الهجوم المخادعة
وفقاً لشركة "BlackPoint Cyber" المتخصصة في كشف التهديدات، يبدأ الهجوم بعرض صفحة تحقق وهمية (CAPTCHA) تطلب من الضحية نسخ أمر معين وتنفيذه يدوياً عبر نافذة التشغيل "Run" في نظام ويندوز، كما تظهر الصورة المرفقة التي توضح صفحة ClickFix وكيفية خداع المستخدم.
يعتمد الأمر المنسوخ على استغلال سكربت شرعي يُدعى SyncAppvPublishingServer.vbs، وهو جزء من ميزة "Microsoft Application Virtualization" المخصصة للمؤسسات لإدارة التطبيقات الافتراضية. يتم تنفيذ هذا السكربت عبر أداة wscript.exe الموثوقة لتشغيل أوامر "PowerShell"، مما يجعل النشاط الخبيث يبدو كعملية نظام طبيعية.
تقنيات التخفي وتجاوز الحماية
يتميز هذا الهجوم بذكاء تقني ملحوظ؛ حيث يقوم السكربت في المرحلة الأولية بالتحقق مما إذا كان المستخدم قد نفذ الأمر يدوياً، ويتأكد من عدم تغيير محتوى الحافظة (Clipboard)، لضمان عدم تشغيل البرمجية في بيئات التحليل الآلي (Sandbox). وفي حال اكتشاف بيئة تحليل، يتوقف التنفيذ بصمت لإضاعة موارد الفحص.
استغلال خدمات جوجل والصور
عند نجاح التخطي، تسترجع البرمجية بيانات التكوين من ملف عام على "Google Calendar" يحتوي على قيم مشفرة بصيغة "base64". وفي مراحل لاحقة، يتم استخدام تقنية إخفاء المعلومات (Steganography)، حيث يتم تضمين حمولة "PowerShell" مشفرة داخل صور PNG مستضافة على شبكات توصيل محتوى عامة (CDNs).
يتم استخراج البيانات الخبيثة من الصور وفك تشفيرها وتنفيذها بالكامل في الذاكرة (Memory) دون ترك أثر على القرص الصلب، لتنتهي العملية بتشغيل برمجية "Amatera" لسرقة المعلومات.
برمجية Amatera وسبل الحماية
تُصنف "Amatera" كبرمجية لسرقة المعلومات (Infostealer) قادرة على جمع بيانات المتصفح وكلمات المرور، وهي مبنية على برمجية "ACR" وتعمل بنظام البرمجيات الخبيثة كخدمة (MaaS). وقد أشار باحثون من "Proofpoint" سابقاً إلى أن هذه البرمجية تزداد تعقيداً مع كل تحديث.
للحماية من هذه الهجمات، يوصي الباحثون بتقييد الوصول إلى نافذة التشغيل "Run" عبر سياسات المجموعة (Group Policy)، وإزالة مكونات App-V إذا لم تكن ضرورية، بالإضافة إلى تفعيل سجلات "PowerShell" ومراقبة الاتصالات الصادرة المشبوهة.
الأسئلة الشائعة
هي هجمات تستخدم صفحات CAPTCHA مزيفة لخداع المستخدمين لنسخ وتنفيذ أوامر خبيثة يدوياً عبر نافذة التشغيل في ويندوز.
تستخدم تقنية إخفاء المعلومات (Steganography) لتضمين أكواد برمجية خبيثة داخل الصور، يتم استخراجها وتنفيذها في ذاكرة الجهاز لتجنب الكشف.
ينصح بتقييد الوصول لنافذة Run، إزالة مكونات App-V غير المستخدمة، ومراقبة الاتصالات الشبكية المشبوهة.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!