تصاعد التحذيرات: “ClickFix” يمثل تهديداً جديداً للهندسة الاجتماعية

أصبح الأمن السيبراني تحدياً متواصلاً، ومع التطور السريع للتقنيات، تتطور أيضاً أساليب المهاجمين. في هذا السياق، تبرز تحذيرات شركات التكنولوجيا الكبرى مثل مايكروسوفت بشأن الهجمات الجديدة، ومن بينها ما يُعرف بـ”ClickFix“، الذي يمثل تطوراً في هجمات الهندسة الاجتماعية.

ما هي هجمات “ClickFix”؟

هجمات “ClickFix” هي تكتيك متقدم لـ الهندسة الاجتماعية يهدف إلى خداع المستخدمين لتنفيذ تعليمات برمجية ضارة (Malicious Scripts) بأنفسهم دون إدراك. وتعتمد هذه التقنية على استغلال علم النفس البشري وثقة المستخدم في ظهور الرسائل الأصلية (Authenticity) التي تبدو وكأنها صادرة عن جهات موثوقة.

آلية الهجوم:

1. الاستدراج الأولي: يبدأ الهجوم عادةً عندما يزور المستخدم موقعاً مخترقاً أو ينقر على رابط ضار (قد يصل عبر رسائل تصيد احتيالي أو إعلانات خبيثة). يتم عرض شاشة مزيفة، غالباً ما تتنكر في شكل تحدي reCAPTCHA للتحقق من أن المستخدم ليس روبوتاً، أو رسالة خطأ مزيفة (مثل خطأ في متصفح Google Chrome، أو مستند Microsoft Word، أو صفحات تشبه Google Meet).
2. الخداع بالتوجيه: توجّه الشاشة المزيفة المستخدم إلى القيام بسلسلة محددة من الإجراءات “لتصحيح الخطأ” أو “للتحقق”. تتضمن هذه الإجراءات:
   • الضغط على مفتاح Windows + R لفتح مربع الحوار “تشغيل” (Run).
   • الضغط على مفتاح Ctrl + V للصق محتوى من الحافظة (Clipboard).
   • الضغط على Enter لتنفيذ الأمر.
3. التنفيذ الصامت: دون علم المستخدم، تكون الصفحة الخبيثة قد قامت مسبقاً بنسخ أمر برمجي ضار، غالباً يكون أمر PowerShell، إلى الحافظة. وعندما يقوم المستخدم باللصق والتنفيذ، فإنه يشغّل هذا الكود الخبيث بنفسه، مما يؤدي إلى تثبيت برمجيات خبيثة (Malware) مثل برامج سرقة المعلومات (Infostealers) التي تستهدف كلمات المرور وبيانات الاعتماد.

دوافع المهاجمين والتهديدات المرتبطة

يُعتبر تكتيك “ClickFix” من الأساليب الشائعة التي تستخدمها مجموعات القرصنة للحصول على وصول أولي إلى الأنظمة والأجهزة.

• الأهداف: غالباً ما تهدف هذه الهجمات إلى سرقة البيانات الحساسة، والحصول على بيانات الدخول، واستخدام الأنظمة المخترقة كجزء من شبكة روبوتات (Botnets)، أو لتثبيت برمجيات الفدية (Ransomware) لاحقاً.
• الانتشار: تم استخدام تكتيك “ClickFix” في حملات تستهدف قطاعات واسعة، بما في ذلك الأفراد والشركات والوكالات الحكومية، وقد لوحظ ارتباطه ببرامج خبيثة متقدمة مثل Lumma Stealer وRhadamanthys وAMOS Stealer.

إجراءات الوقاية والحماية

تُحذّر مايكروسوفت وغيرها من المؤسسات الأمنية من خطورة هذا التكتيك وتدعو إلى اتخاذ إجراءات وقائية صارمة:

• الوعي والتدريب: يُعد تدريب الموظفين والمستخدمين على التعرف على رسائل الخداع والصفحات المزيفة الخط الأول للدفاع. يجب التشكيك دائماً في أي مطالبة بتنفيذ أوامر برمجية (مثل PowerShell) يدوياً.
• تجنب النسخ واللصق: عدم نسخ أو تشغيل أي كود من مصادر غير موثوقة أو صفحات ويب مشبوهة، حتى لو بدت وكأنها تصحيح تقني.
• القيود على سطر الأوامر: يمكن للشركات تطبيق قيود عبر سياسات المجموعة (Group Policies) لـ تعطيل أو تقييد وظيفة Windows + R أو استخدام أدوات تحكم التطبيقات (مثل AppLocker) لمنع تشغيل الأوامر المشبوهة عبر أدوات نظام التشغيل الموثوقة (مثل PowerShell وmshta.exe).
• المراقبة والتحليل: تفعيل تسجيل أوامر PowerShell ومراقبة الأنشطة المشبوهة المتعلقة بالحافظة (Clipboard) وتنفيذ الأوامر، للمساعدة في الكشف المبكر عن الهجوم.
• حلول الحماية المتقدمة: الاعتماد على حلول الحماية من التهديدات المتقدمة (مثل Microsoft Defender XDR) التي لديها القدرة على اكتشاف ومنع سلوكيات “ClickFix” والمكونات الخبيثة المرتبطة بها.

في الختام، تُسلط هجمات “ClickFix” الضوء على أن العنصر البشري يظل الحلقة الأضعف في سلاسل الهجوم، وأن أساليب الهندسة الاجتماعية أصبحت أكثر تعقيداً ودهاءً، مما يستلزم يقظة مستمرة وتحديثاً لإجراءات الأمان.