مواقع وخدع احتيالية تعرض شاشة تحديث Windows مزيفة على المتصفح لإقناع الضحية بتنفيذ أوامر تؤدي إلى تنزيل برمجيات خبيثة على الجهاز. هذه الصفحات تمثل واجهةً كاملة تشبه شاشة التحديث الحقيقية، وتطلب من المستخدمين عادةً نسخ ولصق أو تنفيذ أوامر ظنًا منهم أنها “خطوات إصلاح” أو “تثبيت تحديث أمني”. حملات حديثة تبيّن أن المهاجمين صاروا يستخدمون أساليب متطورة لإقناع المستخدم بالقيام بهذه الخطوات بنفسه بدلًا من محاولة اختراق النظام مباشرةً.
الهجوم النموذجي الذي رصده الباحثون (مسمّى ClickFix) يملأ شاشة المتصفح برسوم متحركة تشبه تقدم التحديث ثم يطلب سلسلة ضغطات مفاتيح تنسخ أوامر خبيثة إلى الحافظة (clipboard) — وعندما يلصق المستخدم الأمر في نافذة تشغيل أو PowerShell، تُنفَّذ سلسلة من الأوامر التي تقوم بتحميل وتشغيل حمولة ضارة. في بعض الحالات، تم إخفاء شيفرة التحميل داخل بيانات صور (steganography) لجعلها أقل اكتشافًا
البرمجيات التي توزّع عبر هذه الخدع تتضمن سرّاق معلومات (infostealers) وعائلات برمجية مثل LummaC2 وRhadamanthys، والتي تهدف إلى سرقة كلمات المرور والملفات الحساسة أو تسليم أدوات تحكم عن بعد إلى المهاجم. الجهات البحثية والأمنية حذّرت من هذه التكتيكات وقدمت تحليلات تقنية حول سلسلة الهجوم وكيفية اكتشافها وإيقافها.
كيف تحمي نفسك الآن (نصائح عملية سريعة)
-
لا تنسخ أو تلصق أوامر تحصل عليها من صفحات ويب غير موثوقة؛ التثبيتات الرسمية للتحديثات تأتي عبر Windows Update أو مواقع الشركات المعلنة فقط. Microsoft
-
إذا ظهرت شاشة تحديث في المتصفح، أغلق التبويب أو المتصفح ولا تنفّذ أي تعليمات منها.
-
حافظ على نظامك وبرامج الحماية محدثة وافحص الروابط المشبوهة قبل النقر. أدوات الحماية ذات السمعة الجيدة تساعد في اكتشاف محاولات التحميل الخبيث.
ملخص
- تخدع تحديثات ويندوز المزيفة أو رموز التحقق (CAPTCHA) المستخدمين للصق أوامر المهاجم وتشغيلها.
- تُخزّن البرامج الضارة بطريقة سرية في صور بكسل PNG؛ ويقوم مُحمّل Stego .NET باستخراجها وفك تشفيرها وتشغيلها في الذاكرة.
- تُجبر خدعة الحافظة الضحايا على لصق الأوامر؛ ويقوم المُحمّل بتنزيل الصورة وتشغيل 10,000 دالة فارغة لتجنب التحليل.
لا تزال هجمات الهندسة الاجتماعية على الأرجح من أكثر الطرق استخدامًا لإصابة جهاز كمبيوتر أو سرقة بيانات شخص ما. يمكن أن يكون لهجوم الهندسة الاجتماعية المُنفّذ جيدًا عواقب وخيمة. يتضمن هذا الهجوم شاشة تحديث ويندوز مزيفة لتلخيص الأحداث.
كشف باحثو الأمن السيبراني عن تطور مُعقد في هجمات الهندسة الاجتماعية “ClickFix”، حيث يجمع المُخربون الآن بين رسوم متحركة واقعية مزيفة لتحديثات ويندوز وتقنيات هندسة اجتماعية متقدمة لاختراق الأنظمة. في حال كنت لا تعرف ما هو هجوم ClickFix، فإن هدفه هو خداع المستخدم للقيام بإجراء عادةً ما يحظره برنامج الأمان عند تنفيذه تلقائيًا.
في هذه المتغيرات الجديدة، يواجه الضحايا صفحات متصفح بملء الشاشة تُحاكي تحديثًا أمنيًا مهمًا لنظام ويندوز أو رمز تحقق بشري. تُوجّه الصفحة المستخدم للضغط على سلسلة مفاتيح مُحددة لحل خطأ أو التحقق من هويته. دون علم المستخدم، يكون جافا سكريبت المُشغّل على الموقع الخبيث قد نسخ أمرًا خبيثًا إلى حافظة الجهاز. عندما يتبع المستخدم تعليمات الضغط على المفاتيح (التي غالبًا ما تتضمن اللصق في نافذة تشغيل ويندوز أو موجه الأوامر)، فإنه يُنفّذ شيفرة المهاجم دون قصد.
إنه في الواقع أمر ذكي جدًا، وهذا ما يُثير القلق. ما يُميّز هذه الحملة تحديدًا هو استخدام أسلوب إخفاء المعلومات لإخفاء حمولة البرامج الضارة. فبدلًا من تنزيل ملف خبيث يُمكن التعرّف عليه، يُخفي المهاجمون الشيفرة داخل بيانات البكسل لصور PNG. أوضح باحثو هانتريس أن الشيفرة الخبيثة مُرمّزة مباشرةً داخل قنوات ألوان مُحددة للصورة. بالنسبة للمراقب العادي أو من خلال فحص أمني بسيط، يبدو الملف صورةً غير ضارة. ومع ذلك، تتضمن سلسلة الهجوم تجميعة .NET تُعرف باسم “مُحمِّل Stego”. هذا المُحمِّل مسؤول عن تحليل الصورة، واستخراج الحمولة المُشفَّرة من وحدات البكسل، وفك تشفيرها في الذاكرة.
تتم هذه العملية بزيارة موقع ويب يعرض خطأً وهميًا في ملء الشاشة، مثل تحديث ويندوز مُعطَّل أو فحص “التحقق من أنك بشري”. تقوم البرامج النصية الخلفية على الموقع بنسخ التعليمات البرمجية الخبيثة سرًا إلى حافظة جهاز الكمبيوتر. تُرشدك الشاشة لفتح موجه “تشغيل” في ويندوز ولصق النص “لإصلاح” المشكلة، وبمجرد الضغط على زر “إدخال”، يُنزِّل الأمر ملف صورة يبدو غير ضار، ولكنه في الواقع يحتوي على البرنامج الخبيث الذي يفك تشفيره بعد ذلك بواسطة مُحمِّل Stego. تُطلق دالة نقطة الإدخال استدعاءات لعشرة آلاف دالة فارغة لاستنزاف أدوات التحليل أو إرباكها قبل تنفيذ الحمولة الحقيقية.
ربما لن نكون ضحايا لهذا. لكن تخيل شخصًا أكبر سنًا قد ينخدع بهذا – ربما بالنقر على رابط خاطئ على الإنترنت. كارثة تنتظر الحدوث. لمنع ذلك، يمكنك تعطيل نافذة التشغيل على جهاز جدك، ولكن لا يوجد الكثير مما يمكنك فعله.
خدعة شاشة التحديث المزيفة تعتمد على استغلال ثقتك في تحديثات النظام وجعلك تنفّذ الأوامر بنفسك؛ لذلك أبسط خطوة وقائية فعّالة هي رفض تنفيذ أي أمر وصولًا من صفحة ويب والاعتماد على القنوات الرسمية لتحديث النظام. راجع التوعية الأمنية داخل مؤسستك، فعّل تحديثات النظام، واستخدم حلول أمان موثوقة — هذه الإجراءات تقلّل بشدة من فرص نجاح مثل هذه الحيل. للمزيد من التفاصيل التقنية وتحليلات الحملة الأخيرة راجع تقارير الباحثين الأمنية المنشورة أعلاه.
