عاد مجرمو الإنترنت بأسلوب خادع أكثر جرأة، عبر نسخة محدثة من برمجية ClickFix الخبيثة التي باتت تتخفّى داخل شاشة وهمية لتحديث نظام ويندوز، تستهدف المستخدمين الذين يثقون بأي نافذة تحمل شعار “تحديث ويندوز”.
وبحسب باحثي الأمن السيبراني في شركة Huntress، فإن الهجمة تعتمد على شاشة تحديث كاملة تغطي المتصفح بالكامل، وتبدو مقنعة لدرجة تدفع المستخدم إلى تنفيذ تعليمات خطيرة، وكل ذلك من خلال خطوة بسيطة: نسخ ولصق أمر جاهز.
تظهر الشاشة المزورة غالباً داخل مواقع مشبوهة، خصوصاً صفحات البث الإباحية المليئة بالإعلانات المنبثقة، بحسب تقرير نشره موقع “gizmochina” واطلعت عليه “العربية Business”.
ضغطة خاطئة على إعلان أو زر تحقق وهمي للعمر، ويتحول المتصفح فجأة إلى “تحديث ويندوز” عالقاً عند 95%.
يخبرك النظام الوهمي بضرورة الضغط على Windows + R ولصق أمر معين لإكمال التحديث.
لكن ما إن ينفذ المستخدم هذا الأمر، حتى يبدأ الهجوم الحقيقي.
ماذا يحدث خلف الكواليس؟
الأمر يقوم بتشغيل mshta، وهي أداة مدمجة في ويندوز، لتحميل برمجية خبيثة من خادم خارجي.
ولتعقيد اكتشافها، يضيف المهاجمون عشرات الأسطر من الشيفرة عديمة الفائدة لإرباك البرمجيات الأمنية.
وفي خطوة غريبة، تُخفى أجزاء من الشيفرة داخل صورة PNG، حيث تستخرج البرمجية التعليمات المدمجة داخل البكسلات ثم تحقن نفسها داخل عمليات النظام باستخدام .NET.
المرحلة الثانية.. سرقة شاملة
بعد التسلل، تُنزل البرمجية إصدارات من أدوات سرقة المعلومات مثل Rhadamanthys و LummaC2، لتبدأ حملة جمع واسعة تشمل:
– كلمات المرور.
– ملفات تعريف المتصفح (Cookies).
– بيانات الدخول للحسابات البنكية.
– محافظ العملات المشفرة.
– تنقل كل شيء مباشرة إلى خوادم المهاجمين.
حملة ما زالت نشطة
تشير التحليلات إلى أن الحملة مستمرة منذ أكتوبر الماضي، مع وجود عدة نطاقات مخصصة لصفحة “التحديث المزيف”.
كما عثر الخبراء على أسطر عبثية في الكود، بينها إشارة غريبة لخطاب قديم في الأمم المتحدة، بهدف إرباك المحللين.