الأحد 05 يوليو 2026 05:35:14 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

البرمجيات الخبيثة وBotnets

تتحول صفحات التحقق المزيفة إلى أبواب أمامية للبرمجيات الخبيثة

عمليات ClickFix التي تنتحل شخصية Google وCloudflare تحول فحص المتصفح الروتيني إلى منصة انطلاق يقودها المستخدم لبرمجيات السرقة والتحميل والوصول عن بُعد.

مقدمة

يمكن لصفحة تبدو وكأنها فحص تحقق غير ضار أن تكون الآن الخطوة الأولى في سلسلة برمجيات خبيثة. في هذا النمط من الحملات، تُستخدم مطالبات مزيفة باسم Google وCloudflare للضغط على الأشخاص من أجل تشغيل أوامر PowerShell بأنفسهم، ما ينقل الحركة الافتتاحية من استغلال الشفرة إلى تعاون بشري. وهذا مهم لأن الضحية تصبح جسر التنفيذ.

حقائق سريعة

  • تُستخدم صفحات التحقق المزيفة باسم Google وCloudflare كإغراءات على نمط ClickFix.
  • يتم دفع الضحايا إلى تشغيل أوامر PowerShell الخبيثة يدويا.
  • تشمل مجموعة الحمولة StealC وHijackLoader وNetSupport RAT وعمليات تحميل غير مسماة.
  • تعتمد التقنية على فعل المستخدم بدلا من ثغرة برمجية.
  • تساعد أسماء العلامات التجارية المنتحلة الصفحة على الظهور بمظهر روتيني وجدير بالثقة.

الخدعة التقنية

تعمل حملات ClickFix عبر تحويل فحص أمني مزيف إلى مطالبة بتنفيذ أوامر. بدلا من سرقة كلمة مرور مباشرة، تطلب الصفحة من الهدف نسخ أمر أو لصقه أو تشغيله، ما يبدأ سلسلة العدوى. في بيئات Windows، يعد PowerShell خيارا شائعا لأنه يستطيع تنزيل المحتوى، وإطلاق المراحل اللاحقة، والاندماج في الضجيج الإداري المعتاد إذا لم يكن المدافعون يراقبون عن كثب.

الحمولات المذكورة في هذه الحملة تقدم لمحة مفيدة عن مدى مرونة هذه العمليات. StealC هو سارق معلومات يركز على بيانات الاعتماد. وHijackLoader هو نوع من المحملات المعيارية التي يمكنها تمرير حمولات من المرحلة الثانية المختلفة. أما NetSupport RAT فهو مثير للاهتمام بشكل خاص لأنه أداة دعم عن بُعد شرعية يمكن إعادة توظيفها كزرع للوصول عن بُعد، ما قد يعقد الفرز الأولي عندما تظهر على جهاز لا يحتاجها عادة.

من منظور دفاعي، لا تكمن المخاطرة الرئيسية في عائلة البرمجيات الخبيثة نفسها فقط، بل في نموذج التسليم. يمكن لصفحة ويب تبدو موثوقة أن تنقل الهجوم إلى ما بعد بعض ضوابط المحيط لأن المستخدم ينفذ خطوة التشغيل الأولى محليا. هذا لا يجعل الاكتشاف مستحيلا، لكنه يغير نوع القياس الذي يحتاجه المدافعون للبحث عنه، خصوصا عمليات الانتقال من المتصفح إلى PowerShell وأنماط إطلاق النصوص البرمجية غير المعتادة.

تدعم المعلومات المتاحة تحليلا للمخاطر، لا إسنادا قاطعا للإهمال أو الاختراق الكامل. المشغلون المحددون وراء الحملة غير معروفين في المواد المتاحة هنا، كما يجب قراءة ذكر علامتي Google أو Cloudflare على أنه انتحال وليس دليلا على أي اختراق لتلك الشركات.

ما الذي ينبغي للمدافعين مراقبته

يمكن لفرق الأمن تضييق نطاق الضرر من خلال التعامل افتراضيا مع أي صفحة تطلب من المستخدم تشغيل أمر على أنها مشبوهة. يجب أن تنتبه ضوابط الطرفية إلى تشغيل PowerShell من المتصفحات، خاصة عندما يتصل الأمر بموقع بعيد، أو يفك ترميز المحتوى، أو يطلق مراحل إضافية. كما ينبغي فحص الأنظمة التي لا تحتاج إلى برامج دعم عن بُعد بحثا عن نشاط NetSupport غير متوقع أو آثار تثبيت.

الدرس الأوسع بسيط: لم يعد المتصفح مجرد مكان تبدأ فيه الهجمات، بل يمكن أن يكون المكان الذي يُقنع فيه الضحية بإتمامها. وبمجرد إعادة توجيه الثقة إلى التنفيذ، حتى شاشة تحقق مزيفة يمكن أن تصبح آلية تسليم خطيرة.

TECHCROOK

hardware security key: تضيف hardware security key عاملا ثانيا ماديا للحسابات المهمة، ما يجعل من الأصعب على صفحات التحقق المزيفة وبرمجيات سرقة البيانات الاعتماد على كلمة مرور مسروقة واحدة فقط للاستيلاء على الحساب. وهي إضافة عملية للبريد الإلكتروني والسحابة وتسجيلات دخول الإدارة، خاصة للمستخدمين الذين يواجهون باستمرار محاولات التصيد أو انتحال الشخصية.

Scheda Techcrook: hardware security key

WIKICROOK

  • ClickFix: نمط هندسة اجتماعية يستخدم مطالبات تحقق مزيفة لخداع المستخدمين ودفعهم إلى تشغيل أوامر يسيطر عليها المهاجم.
  • PowerShell: بيئة برمجة نصية في Windows يُساء استخدامها كثيرا لتنزيل الحمولة الخبيثة وفك ترميزها وتشغيلها.
  • Infostealer: برمجية خبيثة مصممة لجمع بيانات الاعتماد وبيانات المتصفح وغيرها من المعلومات الحساسة من جهاز مصاب.
  • Loader: برمجية خبيثة تقوم بتهيئة أو تسليم حمولات أخرى، ما يجعل سلسلة العدوى معيارية.
  • RAT: حصان طروادة للوصول عن بُعد، وهو برمجية خبيثة تمنح المهاجم تحكما عن بُعد في نظام الضحية، وأحيانا عبر أدوات شرعية مسيء استخدامها.

خاتمة

تنجح صفحات التحقق المزيفة لأنها تستعير لغة الشرعية. وهذا يجعلها أكثر من مجرد خدعة تصيد - إنها مسار تنفيذ متنكر في هيئة نظافة أمنية روتينية. بالنسبة للمدافعين، الخلاصة هي التعامل مع أي صفحة تطلب من شخص تشغيل شيفرة على أنها حدث اختراق محتمل، لا مسارا بريئا للمستخدم.