«انسخ، الصق، واخترق»: داخل هوس برمجيات ClickFix الخبيثة الذي يختطف مستخدمي ويندوز وماك

العنوان الفرعي: موجة جديدة من الهجمات السيبرانية تستغل ثقة المستخدمين في نافذة Run على ويندوز وTerminal على macOS، متجاوزةً أمن المتصفح وتترك التحليل الجنائي الرقمي في الظلام.

تبدأ بطلب مألوف: نافذة منبثقة تحثّك على «التحقق من حسابك» أو «إصلاح خطأ حرج». لكن هذه المرة، لا يكمن التهديد داخل متصفحك - بل ينتظر منك أن تنسخ وتلصق أمراً مباشرةً في أكثر أدوات نظام التشغيل موثوقية. مرحباً بك في عصر ClickFix، حيث وجد كتّاب البرمجيات الخبيثة طريقة جديدة ماكرة للالتفاف على الحماية واستغلال السلوك البشري.

حقائق سريعة

هجمات ClickFix تسيء استخدام مربع حوار Run في ويندوز وTerminal في macOS لتسليم البرمجيات الخبيثة.
خمس مجموعات مميزة استهدفت علامات مثل QuickBooks وBooking.com منذ مايو 2024.
يستخدم المهاجمون الهندسة الاجتماعية لخداع المستخدمين لتنفيذ أوامر مُموّهة داخل أدوات نظام موثوقة.
غالباً ما تُحمَّل البرمجيات الخبيثة بالكامل في الذاكرة، ما يتهرب من الكشف التقليدي ويترك آثاراً جنائية قليلة.
يتوقع الخبراء أن يظل ClickFix ناقلاً رئيسياً للتهديدات حتى عام 2026 على الأقل.

انسَ روابط التصيّد والتنزيلات العارضة - يمثل ClickFix تحولاً زلزالياً في تكتيكات الجريمة السيبرانية. ووفقاً لـ Insikt Group، فإن مجرمي الإنترنت وحتى جهات يُشتبه بأنها مدعومة من دول يتوحدون خلف هذا النهج القائم على «فكّر بذكاء لا بجهد». فبدلاً من استغلال ثغرات برمجية، يلاعبون المستخدمين لتشغيل أوامر مُشفّرة عبر Windows Run أو PowerShell أو macOS Terminal. والخدعة بسيطة على نحو شيطاني: استدراج الضحايا للاعتقاد بأن عليهم حل مشكلة تقنية، ثم إرشادهم - خطوة بخطوة - لإطلاق الهجوم بأنفسهم.

انتحلت حملات ClickFix الأخيرة صفة علامات موثوقة مثل Intuit QuickBooks وBooking.com وحتى منصات عقارية أمريكية. التنفيذ التقني متقدم ومراوغ في آن واحد. تستخدم كثير من الهجمات «Pastejacking» - وهو JavaScript يحمّل بصمت أمراً خبيثاً إلى الحافظة بينما تنشغل بفحص تحقق مزيف. ثم يلصق الضحايا هذا الكود في صدفة النظام، فتبدأ سلسلة عدوى مرحلية: أولاً تُعالَج سلاسل مُموّهة؛ ثم تنفذها أدوات أصلية مثل PowerShell أو bash؛ وبعدها يسلّم خادم بعيد حمولة البرمجية الخبيثة، التي تعمل بالكامل في الذاكرة قبل أن تختفي دون أثر.

قابلية ClickFix للتكيف هي سلاحه الأقوى. فبعض المجموعات تفصّل الأوامر بحسب ما إذا كنت على ويندوز أو macOS، بينما تعيد أخرى تدوير نطاقات قديمة للتهرب من القوائم السوداء. وتتراوح البرمجيات الخبيثة المُسلَّمة من أحصنة طروادة للوصول عن بُعد مثل NetSupport RAT على ويندوز إلى سارقي البيانات مثل MacSync على macOS. ولأن هذه الهجمات «تعيش على موارد النظام» - مستغلةً ثنائيات شرعية موقّعة - فهي مقاومة لمعظم حلول أمن الطرفيات وشبه غير مرئية للتحليل الجنائي التقليدي.

تحذّر Insikt Group من أنه طالما تترك المؤسسات أدوات مثل PowerShell وTerminal مكشوفة، فسيظل ClickFix خياراً مفضلاً للمهاجمين بعائد مرتفع وجهد منخفض. وتشمل توصيات الدفاع تعطيل مربع حوار Run في ويندوز، وفرض سياسات PowerShell أكثر صرامة، واستخدام إدارة الأجهزة المحمولة (MDM) لتقييد الوصول إلى Terminal على أجهزة ماك. لكن مع تجديد المهاجمين لطُعومهم باستمرار، تصبح التوعية المستمرة للمستخدمين ومراقبة السلوك أكثر أهمية من أي وقت مضى.

ClickFix تذكير صارخ: الحلقة الأضعف ليست دائماً البرمجيات - بل غالباً المستخدم، الذي يُدفع عبر مطالبة مصاغة بذكاء. في هذا المشهد الجديد، يجب أن يسير الشك والضوابط التقنية جنباً إلى جنب للتفوق على خصم لا يبعد سوى لصقة واحدة عن الاختراق.

WIKICROOK

Pastejacking: Pastejacking هو هجوم سيبراني يخدع فيه المهاجمون المستخدمين لنسخ ولصق كود خبيث، ما يؤدي غالباً إلى اختراق النظام أو سرقة البيانات.
Living: «Living off the Land» يعني أن المهاجمين يستخدمون أدوات نظام موثوقة (LOLBins) لتنفيذ أفعال خبيثة، ما يجعل نشاطهم متخفياً وصعب الاكتشاف.
PowerShell Constrained Language Mode: وضع اللغة المقيّدة في PowerShell يحد من قدرات السكربتات، ويقيّد الميزات المتقدمة للمساعدة في منع الهجمات وحماية أنظمة ويندوز من الكود الخبيث.
Obfuscation: التمويه هو ممارسة إخفاء الكود أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعباً على البشر أو أدوات الأمن.
Endpoint Detection and Response (EDR): الكشف والاستجابة على الطرفيات (EDR) هي أدوات أمنية تراقب الحواسيب بحثاً عن نشاط مريب، لكنها قد تفوّت هجمات قائمة على المتصفح لا تترك ملفات.