عندما يصبح موقع شبيه بالبنك فخًا لتنفيذ الأوامر
يمكن للنطاقات المنتحلة بالأخطاء الإملائية، وصفحات الإغراء المبنية بالذكاء الاصطناعي، ومطالبة ClickFix أن تحوّل زيارة ويب روتينية إلى تنفيذ PowerShell وإسقاط حصان طروادة مصرفي.
موقع بنك مزيف لا يحتاج إلى كسر التشفير أو استغلال خلل في المتصفح ليكون خطيرًا. في هذه الحالة، يكمن الخطر الأشد في الجانب النفسي: صفحة شبيهة مصقولة، بُنيت بأدوات مدعومة بالذكاء الاصطناعي، تدفع الزائر إلى نسخ أمر وتشغيله بنفسه. هذا هو جوهر ClickFix - ليس عائلة برمجيات خبيثة، بل تسليم قائم على الهندسة الاجتماعية من صفحة ويب إلى تنفيذ التعليمات البرمجية.
حقائق سريعة
- تم استخدام عدة نطاقات منتحلة بالأخطاء الإملائية لاستضافة محتوى خبيث.
- تم إقران موقع بنك برازيلي مزيف تم إنشاؤه بالذكاء الاصطناعي مع طُعم ClickFix.
- تم التعرف على الحمولة على أنها SmartRAT، وُصفت بأنها حصان طروادة للوصول عن بُعد قائم على PowerShell وحصان طروادة مصرفي.
- تعمل النطاقات المنتحلة بالأخطاء الإملائية عبر تسجيل نطاق شبيه لا يتطلب اختراق العلامة التجارية الأصلية.
- أبلغت Zscaler بشكل منفصل عن بنية تحتية للتصيد واسعة النطاق مولدة بالذكاء الاصطناعي، ما يوضح مدى انخفاض تكلفة إنتاج أدوات الإغراء.
كيف يعمل الفخ
الخطر هنا متعدد الطبقات. يبدأ أولًا بانتحال النطاق: يتم تسجيل عنوان قريب جدًا من الأصل لاصطياد الأشخاص الذين يثقون بما يرونه في شريط المتصفح. ثم تأتي صفحة الإغراء نفسها، والتي يمكن الآن توليدها بسرعة وبجهد يدوي أقل مما كانت تتطلبه مجموعات التصيد القديمة. الخطوة الأخيرة هي الإكراه على طريقة ClickFix، حيث تدفع الصفحة المستخدم إلى لصق أمر في PowerShell أو أداة Windows مشابهة.
هذا مهم لأن PowerShell أداة إدارة مشروعة. عندما يتمكن المهاجم من إقناع الضحية بتشغيلها، يمكن للاختراق أن يتجاوز بعض الإشارات التي يعتمد عليها المدافعون، مثل مرفقات البرمجيات الخبيثة الواضحة أو سلسلة استغلال صاخبة. والنتيجة هي مسار وصول أولي يقوده المستخدم وقد يبدو عاديًا إلى أن يكون الأمر قد بدأ بالفعل في العمل.
في هذا السياق، ينبغي النظر إلى SmartRAT باعتباره حمولة ما بعد النقر، لا كأداة استغلال لامعة. القضية الأساسية ليست اسم البرمجية الخبيثة فحسب، بل نموذج التسليم: بوابة مالية مزيفة، ومطالبة تستعير لغة استكشاف الأخطاء أو التحقق، وخطوة تنفيذ أوامر تجعل المتصفح نفسه جزءًا من مسار الهجوم.
حتى وقت كتابة هذا النص، لم تثبت المعلومات العامة بالكامل النطاق الكامل للمستخدمين المتأثرين، أو البنك المستهدف تحديدًا، أو ما إذا كانت أي أنظمة مالية لاحقة قد تعرضت للاختراق. المعلومات المتاحة تدعم تحليلًا للمخاطر، لا ادعاءً حاسمًا بحدوث اختراق أوسع.
لماذا ينبغي للمدافعين الاهتمام
هذا النمط مهم لأنه يخفض تكلفة المهاجم بينما يرفع جودة طُعم الإغراء. يمكن لتوليد الصفحات بمساعدة الذكاء الاصطناعي أن يجعل العلامة التجارية المحلية والتخطيط واللغة أسهل في الإنتاج على نطاق واسع. تمنح النطاقات المنتحلة بالأخطاء الإملائية تلك الصفحات موطنًا مقنعًا. ويوفر ClickFix خطوة التنفيذ. معًا، يكوّنان سلسلة تعتمد أقل على الاستغلال التقني وأكثر على إقناع إنسان بالتعاون.
بالنسبة للمدافعين، هذا يعني أن تصفية عناوين URL وحدها ليست كافية. الضوابط الأقوى هي السلوكية: مراقبة الانتقالات من المتصفح إلى PowerShell، ونشاط الحافظة المريب، والأوامر المشفرة، والاستخدام غير المعتاد لأدوات النظام من جلسات المستخدم. كما أن مراقبة العلامة التجارية وتتبع النطاقات الشبيهة مهمان أيضًا، لأن البنية التحتية نفسها جزء من السلاح.
والدرس الأوسع بسيط: ليس على الذكاء الاصطناعي أن يجعل الهجوم سحريًا كي يجعله فعالًا. أحيانًا يكفي أن يجعل البنك المزيف يبدو حقيقيًا بما يكفي كي تتحول نقرة واحدة إلى تنفيذ.
TECHCROOK
مفتاح أمان مادي: استخدم مفتاح أمان ماديًا لتوفير حماية تسجيل دخول مقاومة للتصيد للحسابات المهمة للبريد الإلكتروني والبنوك والإدارة. يضيف عاملاً ثانيًا ماديًا ويدعمه على نطاق واسع عدد من الخدمات الحديثة. قم بإقرانه بكلمات مرور قوية وأكواد استرداد غير متصلة بالإنترنت.
WIKICROOK
- الانتحال بالأخطاء الإملائية: تسجيل نطاق شبيه لاصطياد المستخدمين الذين يخطئون في كتابة اسم علامة تجارية شرعية أو يقرؤونه بشكل خاطئ.
- ClickFix: خدعة هندسة اجتماعية تقنع المستخدمين بلصق الأوامر وتشغيلها بأنفسهم.
- PowerShell: أداة سطر أوامر وبرمجة نصية في Windows يُساء استخدامها كثيرًا لإعداد البرمجيات الخبيثة وتنفيذها.
- حصان طروادة للوصول عن بُعد (RAT): برمجية خبيثة تتيح للمشغل التحكم في نظام مصاب عن بُعد.
- ثنائي يعيش على أدوات النظام: أداة نظام شرعية يُسيء المهاجمون استخدامها لتقليل الآثار الواضحة للبرمجيات الخبيثة.
