الصفحات
بحث
تحذير: هجوم ClickFix جديد يستغل DNS لاختراق ويندوز
الأمن السيبراني #أمن_سيبراني #مايكروسوفت

تحذير: هجوم ClickFix جديد يستغل DNS لاختراق ويندوز

منذ ساعتين 5 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
5 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت مايكروسوفت عن تطور خطير في هجمات الهندسة الاجتماعية المعروفة باسم ClickFix، حيث بدأ المهاجمون في استغلال استعلامات DNS لنشر البرمجيات الخبيثة، وهو ما يُعد أول استخدام معروف لنظام أسماء النطاقات كقناة لنقل العدوى في هذه الحملات.

آلية الهجوم الجديدة عبر DNS

تعتمد هجمات ClickFix عادةً على خداع المستخدمين لتنفيذ أوامر برمجية يدوياً بحجة إصلاح أخطاء أو تثبيت تحديثات. ومع ذلك، يستخدم هذا المتغير الجديد تقنية مبتكرة حيث يقوم خادم DNS يسيطر عليه المهاجمون بتسليم المرحلة الثانية من الهجوم.

وفقاً لباحثي "مايكروسوفت ديفندر"، يُطلب من الضحايا تشغيل أمر nslookup الذي يستعلم من خادم DNS تابع للمهاجم بدلاً من الخادم الافتراضي للنظام. يعيد هذا الأمر استجابة تحتوي على نص برمجي خبيث من نوع PowerShell يتم تنفيذه فوراً على الجهاز.

كيف يتم الاختراق؟

يوجه الهجوم المستخدمين لتشغيل الأمر في مربع حوار التشغيل (Run) في ويندوز. يقوم هذا الأمر بإجراء بحث DNS عن اسم مضيف محدد ضد خادم المهاجم (الذي تم رصده سابقاً عند العنوان 84.21.189.20)، ثم ينفذ الاستجابة الناتجة عبر مترجم أوامر ويندوز (cmd.exe).

تحتوي استجابة DNS على حقل "NAME:" الذي يضم حمولة PowerShell الثانية. تقوم هذه الحمولة بتنزيل أرشيف ZIP يحتوي على بيئة تشغيل Python ونصوص برمجية خبيثة تقوم بعمليات استطلاع على الجهاز المصاب والشبكة.

تروجان ModeloRAT وتطور الهجمات

يهدف الهجوم في النهاية إلى تثبيت تروجان للوصول عن بعد يُعرف باسم ModeloRAT، والذي يمنح المهاجمين سيطرة كاملة على الأنظمة المخترقة. ولضمان الاستمرار، ينشئ الهجوم ملف VBScript واختصاراً في مجلد بدء التشغيل لضمان عمل البرمجية عند إعادة تشغيل الجهاز.

تطورت هجمات ClickFix بشكل ملحوظ خلال العام الماضي، حيث توسع المهاجمون من مجرد الاعتماد على HTTP إلى استخدام قنوات معقدة مثل DNS لتجاوز الكشف. كما تم رصد استخدامهم لصفحات مزيفة على أدوات الذكاء الاصطناعي مثل ChatGPT وGrok وClaude للترويج لهذه الهجمات، بالإضافة إلى استغلال تعليقات Pastebin لاستهداف مستخدمي العملات المشفرة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##مايكروسوفت ##ويندوز ##هكر

الأسئلة الشائعة

هو نوع من هجمات الهندسة الاجتماعية يخدع المستخدمين لتنفيذ أوامر يدوية، ويستخدم حالياً استعلامات DNS عبر أمر nslookup لنشر البرمجيات الخبيثة بدلاً من الطرق التقليدية.

هي تروجان للوصول عن بعد (RAT) يتم تثبيته في المرحلة الأخيرة من الهجوم، مما يسمح للمهاجمين بالسيطرة الكاملة على النظام المصاب والتحكم به عن بعد.

يُطلب من الضحية تشغيل أمر nslookup الذي يتصل بخادم DNS تابع للمهاجم، وتعود الاستجابة بنص برمجي خبيث (PowerShell) يتم تنفيذه تلقائياً على الجهاز.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!