موج جدید حملات ClickFix با پوشش به‌روزرسانی جعلی ویندوز، اطلاعات کاربران را سرقت می‌کند

گزارش‌های اخیر حاکی از ظهور موجی تازه از حملات سایبری پیچیده تحت عنوان ClickFix است که با استفاده از صفحات به‌روزرسانی جعلی ویندوز، کاربران را فریب داده و بدافزار سرقت‌کننده اطلاعات (infostealer) را روی سیستم‌های آن‌ها نصب می‌کند. این حملات که توسط تحلیلگران امنیتی شرکت هانترس (Huntress) مورد بررسی قرار گرفته‌اند، از تکنیک‌های مهندسی اجتماعی پیشرفته‌ای بهره می‌برند تا دسترسی اولیه به دستگاه‌های قربانیان پیدا کنند و اطلاعات حساس آن‌ها را به سرقت ببرند.

حملات ClickFix چیست و چگونه کار می‌کند؟

حملات ClickFix نوعی از تکنیک‌های مهندسی اجتماعی هستند که در آن مهاجمان با فریب کاربران، آن‌ها را وادار می‌کنند تا دستورات مخرب را بر روی سیستم خود اجرا کنند. این حملات معمولاً از طریق نمایش پیام‌های جعلی مانند "من ربات نیستم" یا "نیاز به رفع مشکل دارید" صورت می‌گرفتند. مایکروسافت، خالق سیستم‌عامل ویندوز، این روش را به عنوان رایج‌ترین متد دسترسی اولیه مهاجمان شناسایی کرده و هشدار داده است که گستره و پیچیدگی حملات ClickFix در سال گذشته به شدت افزایش یافته است، به طوری که هم گروه‌های جاسوسی دولتی و هم باندهای جرایم سایبری از آن برای انتشار بدافزارهای مختلف استفاده می‌کنند.

تاکتیک‌های نوین در حملات ClickFix: فریب با به‌روزرسانی جعلی ویندوز

بر اساس گزارش تحلیلگران امنیتی هانترس، بن فولند و آنا فام، موج جدید حملات ClickFix از روش‌های سنتی احراز هویت "من ربات نیستم" فاصله گرفته و اکنون از صفحات به‌روزرسانی جعلی ویندوز استفاده می‌کند که به طور "بسیار متقاعدکننده‌ای" طراحی شده‌اند. این حملات معمولاً با هدایت قربانیان به یک وب‌سایت مخرب آغاز می‌شوند که مرورگر آن‌ها را به حالت تمام‌صفحه برده و یک صفحه آبی رنگ مشابه به‌روزرسانی ویندوز نمایش می‌دهد. در این مرحله، از کاربر خواسته می‌شود تا با اجرای یک "به‌روزرسانی امنیتی حیاتی"، مشکل را برطرف کند. قربانیان در صورت فریب خوردن، با باز کردن پنجره Run (با کلیدهای Win+R) و وارد کردن یک دستور مخرب، ناخواسته بدافزار را اجرا می‌کنند.

استفاده از استگانوگرافی در حملات ClickFix برای دور زدن تشخیص

یکی دیگر از نوآوری‌های خطرناک در این حملات، استفاده از یک لودر استگانوگرافیک (steganographic loader) است. استگانوگرافی (Steganography) هنری پنهان کردن اطلاعات درون فایل‌های دیگر است، به گونه‌ای که وجود پیام پنهان از دید ناظران پنهان بماند. در این حملات، بدافزار سرقت‌کننده اطلاعات، از جمله Rhadamanthys، به طور مخفیانه در داده‌های پیکسلی تصاویر PNG رمزگذاری شده و سپس با استفاده از کانال‌های رنگی خاص، در حافظه سیستم رمزگشایی و بازسازی می‌شود. این تکنیک پیچیده به مهاجمان امکان می‌دهد تا از روش‌های تشخیص مبتنی بر امضا (signature-based detection) که ابزارهای امنیتی سنتی از آن‌ها استفاده می‌کنند، فرار کنند. زنجیره اجرای بدافزار چند مرحله‌ای بوده و با دستور `mshta.exe` آغاز می‌شود که شامل یک URL با آدرس IP رمزگذاری‌شده است. این دستور سپس کد PowerShell را اجرا می‌کند که حاوی یک اسمبلی .NET است و به صورت پویا رمزگشایی و بارگذاری می‌شود. در نهایت، این فرآیند به استقرار لودر استگانوگرافیک و نصب بدافزار Rhadamanthys منجر می‌شود که وظیفه سرقت اطلاعات کاربری را بر عهده دارد.

گستره و پیامدهای حملات ClickFix

تحقیقات هانترس نشان می‌دهد که بین ۲۹ سپتامبر تا ۳۰ اکتبر ۲۰۲۵، حداقل ۷۶ حادثه مرتبط با این کمپین در مناطق مختلفی از جمله ایالات متحده، EMEA (اروپا، خاورمیانه و آفریقا) و APJ (آسیا و اقیانوسیه) شناسایی و به آن‌ها پاسخ داده شده است. یک آدرس IP مشخص (141.98.80[.]175) نیز در این حملات مشاهده شده که متخصصان امنیتی باید آن را زیر نظر داشته باشند. اگرچه هویت دقیق عاملان این حملات مشخص نیست، اما تحلیلگران به وجود کامنت‌های روسی در کد منبع سایت‌های فریب‌دهنده به‌روزرسانی ویندوز اشاره کرده‌اند. جالب توجه است که حتی پس از عملیات اجرای قانون "Endgame" در ۱۳ نوامبر که زیرساخت‌های بدافزار Rhadamanthys را هدف قرار داده بود، بسیاری از دامنه‌های فعال همچنان صفحات فریب‌دهنده به‌روزرسانی ویندوز مرتبط با کمپین Rhadamanthys را میزبانی می‌کنند، هرچند که به نظر می‌رسد بدافزار اصلی دیگر از آنجا توزیع نمی‌شود.

راهکارهای دفاعی در برابر حملات ClickFix

برای محافظت در برابر حملات ClickFix و سرقت اطلاعات، سازمان‌ها و کاربران می‌توانند اقدامات پیشگیرانه زیر را انجام دهند:

مسدودسازی دسترسی به Run box و محدود کردن اجرای اسکریپت‌ها برای کاربران غیرضروری.

آموزش مستمر کارکنان در مورد حملات مهندسی اجتماعی و تکنیک ClickFix؛ تاکید بر این نکته که هیچ به‌روزرسانی قانونی یا تست کپچایی از کاربران نمی‌خواهد که دستورات را در Run box وارد و اجرا کنند.

استفاده از ابزارهای EDR (Endpoint Detection and Response) برای نظارت بر فرآیندهای مشکوک، مانند اجرای `mshta.exe` یا `powershell.exe` توسط `explorer.exe` با خط فرمان‌های غیرمعمول. این ابزارها می‌توانند فعالیت‌های غیرعادی را شناسایی و قبل از وقوع آسیب جدی، آن‌ها را خنثی کنند.

مجله تخصصی هک و امنیت

---

مطالب مرتبط

• دستگیری هکر موساد؛ وقتی چالش‌های اقلیمی، بحران اصلی ایران نام می‌گیرند
• گروه هکری هنظله با افشای اطلاعات حساس کارکنان صنایع دفاع اسرائیل، ابعاد تازه‌ای از جنگ سایبری را نمایان ساخت
• حملات سایبری به دانشگاه‌ها به اوج خود رسید: زنگ خطر برای امنیت علمی و اطلاعاتی کشور
• پرونده‌ای در آمریکا: توطئه قاچاق تراشه‌های هوش مصنوعی انویدیا به چین با چهار متهم روبرو شد