خلف القناع: كيف تختطف اختبارات CAPTCHA المزيّفة الثقة لإطلاق برمجيات خبيثة منقولة عبر الويب

صفحات تحقق خادعة تسلّح المألوف لتجاوز الدفاعات وإيصال شبكة متشابكة من البرمجيات الخبيثة.

تخيّل أن تتوقف لإجراء فحص أمني روتيني على الويب - أحد اختبارات CAPTCHA المنتشرة في كل مكان من نوع “أنا لست روبوتًا” - لتُطلق دون أن تدري هجومًا ببرمجيات خبيثة. هذه هي الحقيقة الجديدة المرعبة على إنترنت اليوم، حيث حوّل مجرمو الإنترنت صفحات الاعتراض الموثوقة في المتصفح إلى منظومة مترامية ومجزأة لتسليم البرمجيات الخبيثة. ما يبدو خطوة عادية في التحقق عبر الإنترنت هو، لآلاف الأشخاص يوميًا، بداية كابوس رقمي.

حقائق سريعة

حدّد الباحثون أكثر من 9,000 نقطة نهاية لاختبارات CAPTCHA مزيّفة تتنكر في هيئة تحديات تحقق موثوقة.
أكبر عنقود بصري يحاكي اختبارات CAPTCHA على نمط Cloudflare، ويمثل 70% من التهديدات المرصودة.
تستخدم مواقع CAPTCHA المزيّفة مزيجًا من VBScript وPowerShell ومثبّتات MSI لتسليم البرمجيات الخبيثة.
يفصل الفاعلون التهديديون الواجهة البصرية عن بنية البرمجيات الخبيثة الخلفية، ما يتيح تطورًا سريعًا.
غالبًا ما تفوّت أساليب الأمن التقليدية هذه التهديدات بسبب مظهرها المألوف وتنوع حمولاتها.

فن الخداع: وجوه مألوفة، دوافع خفية

في صميم هذا المخطط تكمن بصيرة بسيطة لكنها مدمّرة: المستخدمون يثقون بما يعرفونه. عبر استنساخ الشكل والإحساس لصفحات التحقق واسعة الاستخدام - وخاصة تلك التي تشبه تحديات أمان Cloudflare - يُخدّر المهاجمون الضحايا بإحساس زائف بالأمان. وغالبًا ما تذهب هذه الاختبارات المزيّفة، التي تُسمّى في بعض الأوساط طُعوم “ClickFix”، إلى حد جلب أيقونات خاصة بالموقع من نطاقات مخترقة، مانحةً إيحاءً بالشرعية يصعب تمييزه عن الحقيقي.

لكن تحت هذا التجانس السطحي، لا تبدو المنظومة منسّقة على الإطلاق. فقد كشف باحثون من Censys، باستخدام التجميع البصري المتقدم والتحليل السلوكي، عن عالم سفلي فوضوي. قد تتصدر واجهة مألوفة واحدة مُنزّلًا عبر PowerShell، أو مُحمّلًا عبر VBScript، أو حمولة Windows Installer (MSI) - وكل منها قد تديره مجموعات إجرامية مختلفة، وكل منها يستخدم بنية تحتية منفصلة. بل إن تحليلًا أعمق لأكثر من 6,600 نقطة نهاية متطابقة بصريًا كشف طيفًا مُربكًا من سلوكيات الخلفية، من إساءة استخدام الحافظة إلى هجمات إشعارات الدفع المعتمدة على المتصفح.

لماذا ينجح هذا - ولماذا هو خطير إلى هذا الحد

تكمن عبقرية تهديد CAPTCHA المزيّف في الفصل: إذ يفصل المهاجمون طبقة المظهر البصري التي تبني الثقة عن الحمولة الخبيثة وبنية الأوامر والتحكم. وهذا يعني أن صفحة واحدة يمكن أن تعمل كواجهة لعدد لا يحصى من الهجمات غير المرتبطة. لم يعد بإمكان المدافعين الاعتماد على رصد عائلة برمجيات خبيثة بعينها أو نطاق أوامر وتحكم محدد - الثابت الوحيد هو الواجهة نفسها.

غالبًا ما تفشل أدوات الأمن التقليدية في رصد هذه التهديدات، إذ تعميها هيئتها المألوفة وتنوع التقنيات الكامنة تحتها. يتضمن دليل لعب المهاجمين كل شيء من نصوص PowerShell بسيطة إلى مثبّتات MSI متطورة، وكل ذلك ملفوف بعباءة من الشرعية. وفي الوقت نفسه، يُطلب من المستخدمين تنفيذ إجراءات - نسخ أوامر إلى الحافظة، وتشغيل نصوص - لا يمكن لأي فحص أمني حقيقي أن يتطلبها.

البقاء في الصدارة

يحُث خبراء الأمن الآن المؤسسات على النظر إلى ما وراء السطح. إن مراقبة الصفحات ذات طابع التحقق في سياقات غير متوقعة، وربط مشاهدات الواجهة بسلوكيات شبكية غير معتادة، والأهم تثقيف المستخدمين حول ما تتضمنه الفحوصات الشرعية فعليًا - يمكن أن يساعد في كبح هذا المد. أصبحت استخبارات التهديدات الاستباقية والدفاعات متعددة الطبقات ضرورية الآن.

الخلاصة: ثقة مُستغَلّة

يمثل صعود برمجيات CAPTCHA المزيّفة الخبيثة نقطة تحول في الجريمة السيبرانية. فمن خلال اختطاف الإشارات ذاتها التي تدل على الأمان، ابتكر المهاجمون تهديدًا متبدّل الشكل قادرًا على التفوق على الكشف التقليدي. ومع تلاشي الخط الفاصل بين الواجهة الموثوقة والنشاط الخبيث، تصبح اليقظة والتثقيف والدفاعات المتكيفة هي السبيل الوحيد للمضي قدمًا في هذا العصر الجديد من خداع الويب.

WIKICROOK

Captcha: CAPTCHA هو اختبار أمني على مواقع الويب يساعد على التمييز بين البشر والروبوتات، غالبًا عبر مطالبة المستخدمين بحل ألغاز بسيطة أو تحديد صور.
التجزئة الإدراكية (pHash): تُنشئ التجزئة الإدراكية (pHash) بصمات للصور أو الملفات، ما يتيح اكتشاف وتجميع المحتوى المتشابه بصريًا حتى لو تم تعديله قليلًا.
VBScript: VBScript هي لغة برمجة نصية من Microsoft لأتمتة مهام Windows، لكن يمكن استغلالها من قبل التهديدات السيبرانية، ما يجعلها مصدر قلق أمني.
PowerShell: PowerShell أداة برمجة نصية في Windows تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أفعال خبيثة خفية.
مثبّت MSI (MSIEXEC): مثبّت MSI (msiexec) أداة في Windows لتثبيت البرامج، لكن يمكن إساءة استخدامها من قبل المهاجمين لتوزيع حمولات خبيثة متنكرة كأنها شرعية.