شاشة تحديث مزيفة تقود لهجوم خفي يسرق بيانات المستخدمين.. ما القصة؟

يستخدم مجرمو الإنترنت حاليا أسلوبا أكثر جرأة عبر نسخة مطورة من برمجية ClickFix الخبيثة، التي باتت تختبئ داخل شاشة مزيفة لتحديث نظام ويندوز، مستهدفة المستخدمين الذين يثقون بأي نافذة تحمل شعار “Windows Update”.

وبحسب باحثي الأمن السيبراني في شركة Huntress، تعتمد الهجمة على شاشة تحديث وهمية تغطي المتصفح بالكامل وتبدو واقعية إلى حد يدفع المستخدم لتنفيذ تعليمات خطيرة تبدأ بأمر بسيط يقوم على النسخ واللصق.

وغالبا ما تظهر هذه الشاشة داخل مواقع مشبوهة، خصوصا المليئة بالإعلانات المنبثقة، وفق ما أورده موقع gizmochina، إذ أن ضغطة عشوائية على إعلان أو زر تحقق وهمي للعمر كفيلة بأن تنقل المستخدم فجأة إلى شاشة تحديث ويندوز تبدو متوقفة عند نسبة 95%، قبل أن تطلب الرسالة المضللة الضغط على Windows + R ولصق أمر محدد لإكمال التحديث، وهو ما يفتح الباب للهجوم الحقيقي.

ويقوم الأمر بتشغيل أداة mshta الموجودة داخل ويندوز لتحميل برمجية خبيثة من خادم خارجي، بينما يضيف المهاجمون سطورا كثيرة من الشيفرة غير المفيدة بهدف تضليل أنظمة الفحص الأمني.

وتزداد الخدعة تعقيدا مع إخفاء أجزاء من الشيفرة داخل صورة PNG تستخرج البرمجية تعليماتها من بكسلاتها قبل أن تحقن نفسها داخل عمليات النظام باستخدام .NET.

وبمجرد نجاح التسلل تنزل البرمجية أدوات متقدمة لسرقة المعلومات مثل Rhadamanthys و LummaC2، لتبدأ عملية جمع واسعة تشمل كلمات المرور وملفات تعريف المتصفح وبيانات الحسابات البنكية ومحافظ العملات المشفرة، ثم تُرسل مباشرة إلى خوادم المهاجمين.

وتشير التحليلات الأمنية إلى أن الحملة ما زالت نشطة منذ أكتوبر الماضي مع تخصيص عدة نطاقات لصفحة “التحديث المزيف”.

ولاحظ الباحثون وجود سطور عبثية داخل الشيفرة، من بينها إشارة غامضة لخطاب قديم في الأمم المتحدة، وذلك في محاولة لعرقلة جهود تحليل البرمجية