در یک روند نگرانکننده جدید، محققان امنیتی کشف کردهاند که گونههای تازهای از حملات ClickFix با بهرهگیری از صفحات بهروزرسانی جعلی ویندوز، کاربران را فریب داده و بدافزارهای سرقتکننده اطلاعات (Infostealer) را روی سیستمهایشان نصب میکنند. این حملات که بهطور فزایندهای پیچیدهتر شدهاند، از تکنیکهای مهندسی اجتماعی و پنهاننگاری (Steganography) برای دور زدن سیستمهای امنیتی و دسترسی به اعتبارنامههای کاربران بهره میبرند. مایکروسافت نیز پیشتر حملات ClickFix را به عنوان یکی از رایجترین روشهای دسترسی اولیه برای مهاجمان شناسایی کرده بود.
تکامل حملات ClickFix: از رباتچکها تا بهروزرسانیهای ویندوز
حملات ClickFix نوعی مهندسی اجتماعی هستند که در آن قربانیان به اجرای دستورات مخرب روی رایانههای خود ترغیب میشوند. پیش از این، این حملات بیشتر با نمایش کادرهای تایید "من ربات نیستم" (I am not a robot) یا "رفع مشکل"های ساختگی شناخته میشدند. با این حال، تحلیلگران امنیتی Huntress، بن فُلند و آنا فام، فاش کردهاند که مهاجمان اکنون به سمت استفاده از صفحات بهروزرسانی جعلی ویندوز روی آوردهاند که بسیار متقاعدکننده طراحی شدهاند. این تغییر تاکتیک نشاندهنده تلاش مهاجمان برای سوءاستفاده از اعتماد کاربران به پیامهای سیستمی ویندوز است. این رویکرد جدید، حملات ClickFix را به ابزاری قدرتمندتر برای کلاهبرداری تبدیل کرده است.
شگرد نوین حملات ClickFix: پنهانسازی بدافزار در تصاویر PNG
یکی از نوآوریهای برجسته در موج جدید حملات ClickFix، استفاده از لودرهای پنهاننگاری (steganographic loaders) برای تحویل بدافزار Rhadamanthys است. در این روش پیچیده، کد مخرب به طور مستقیم در پیکسلهای تصاویر PNG رمزگذاری میشود. سپس، با استفاده از کانالهای رنگی خاص، بدافزار در حافظه سیستم قربانی بازسازی و رمزگشایی میشود. این تکنیک پیشرفته، به بدافزارهای سرقتکننده اطلاعات کمک میکند تا از شناسایی مبتنی بر امضا که توسط بسیاری از نرمافزارهای امنیتی استفاده میشود، فرار کنند.
[
](
)
شیوه عمل حملات ClickFix و سرقت اطلاعات با Rhadamanthys
این کمپینهای مخرب با بازدید قربانیان از یک وبسایت آلوده آغاز میشوند. این وبسایت مرورگر را به حالت تمامصفحه برده و یک صفحه آبی رنگ مشابه صفحه بهروزرسانی ویندوز نمایش میدهد. اگر کاربر فریب بخورد، از او خواسته میشود تا با اجرای یک دستور مخرب (معمولاً از طریق Win+R و سپس چسباندن و اجرای کد)، یک "بهروزرسانی امنیتی حیاتی" را نصب کند.
فرایند اجرای حمله شامل چند مرحله است:
دستور اولیه: اجرای دستور `mshta.exe` که حاوی یک URL با آدرس IP با اکتت دوم هگزادسیمال رمزگذاری شده است.
کد PowerShell: این دستور، کد PowerShell را اجرا میکند که شامل یک اسمبلی داتنت (.NET assembly) است و به صورت پویا رمزگشایی و بارگذاری میشود.
لودر پنهاننگاری: در نهایت، یک لودر داتنت دیگر – لودر پنهاننگاری – مستقر میشود که شلکد (shellcode) بستهبندی شده با Donut را از دادههای پیکسلی تصاویر PNG استخراج میکند.
استقرار Rhadamanthys: این شلکد منجر به نصب بدافزار Rhadamanthys روی سیستم قربانی شده که وظیفه اصلی آن سرقت اعتبارنامههای ورودی است.
بین ۲۹ سپتامبر تا ۳۰ اکتبر ۲۰۲۵، تیم Huntress ۷۶ حادثه مرتبط با این کمپین را در سازمانهای مختلفی در ایالات متحده، اروپا، خاورمیانه، آفریقا و منطقه آسیا-اقیانوسیه شناسایی و بررسی کرده است. این گستردگی جغرافیایی نشاندهنده تهدید جهانی این حملات ClickFix است.
چگونه در برابر حملات ClickFix از خود محافظت کنیم؟
با توجه به افزایش پیچیدگی حملات ClickFix و استفاده از تکنیکهای نوین مانند پنهاننگاری، اتخاذ تدابیر امنیتی قوی برای محافظت از اطلاعات حیاتی ضروری است.
آموزش کارکنان و کاربران: مهمترین گام، آموزش افراد در مورد نحوه عملکرد حملات ClickFix و شناسایی علائم فیشینگ و مهندسی اجتماعی است. باید به کاربران آموزش داده شود که بهروزرسانیهای واقعی ویندوز یا تستهای CAPTCHA هرگز از آنها نمیخواهند دستوراتی را کپی و اجرا کنند.
مسدودسازی قابلیت Run در ویندوز: در محیطهای سازمانی، میتوان دسترسی به پنجره "Run" ویندوز را محدود یا مسدود کرد تا از اجرای ناخواسته دستورات مخرب جلوگیری شود.
استفاده از ابزارهای EDR: ابزارهای شناسایی و پاسخ نقطهپایانی (EDR) میتوانند برای نظارت بر فرآیندهای مشکوک مانند `explorer.exe` که دستورات `mshta.exe`، `powershell.exe` یا سایر فایلهای باینری را با خطوط فرمان غیرمنتظره اجرا میکنند، بسیار مفید باشند. این ابزارها میتوانند فعالیتهای غیرعادی را تشخیص داده و پیش از وقوع خسارت، آن را متوقف کنند.
بهروزرسانی منظم سیستمها و نرمافزارها: اطمینان از بهروز بودن سیستمعامل و تمام نرمافزارهای امنیتی با آخرین پچها و تعاریف بدافزار، یک لایه دفاعی اساسی در برابر این گونه حملات فراهم میکند.
با وجود عملیاتهای بینالمللی مانند "Operation Endgame" که زیرساختهای بدافزارهایی نظیر Rhadamanthys را هدف قرار میدهند، مهاجمان به سرعت روشهای خود را تطبیق داده و به فعالیت ادامه میدهند. بنابراین، هوشیاری و بهروزرسانی دانش امنیتی، کلید مقابله با این تهدیدات نوظهور است.
مطالب مرتبط
- حمله HashJack: فریبکاری جدید مرورگرهای هوش مصنوعی با یک علامت در URL
- پژوهشگران امنیتی هشدار دادند: بدافزار Sturnus، پیامهای گوشیهای اندرویدی را بدون رمزگشایی میخواند
- تروجان Sturnus: تهدید جدیدی که امنیت پیامرسانهای سیگنال، تلگرام و واتساپ را دور میزند
- حمله HashJack: فریبکاری جدید مرورگرهای هوش مصنوعی با یک علامت در URL
