حدد مركز أتوس لأبحاث التهديدات متغيرًا جديدًا من تقنية التصيد الاجتماعي المعروفة باسم "ClickFix"، مما يمثل تطورًا ملحوظًا في هذا التهديد المستمر. تظل الخدعة الأساسية كما هي: يحث المهاجمون الضحايا على زيارة صفحة ويب احتيالية، غالبًا ما تكون متنكرة كآلية للتحقق من "CAPTCHA"، والتي تطلب منهم تنفيذ أمر خبيث يدويًا باستخدام مربع حوار "تشغيل" في ويندوز (Win+R). ومع ذلك، فإن هذه النسخة الأخيرة تقدم سلسلة تنفيذ محسّنة مصممة لتعزيز التخفي والتجنب. بدلاً من الاعتماد على نواقل شائعة المراقبة مثل "PowerShell" أو "mshta.exe"، يستخدم المهاجمون الآن أمر "net use" لتعيين محرك شبكة من خادم بعيد يتحكم فيه المهاجم. يتم خداع المستخدم لنسخ وتشغيل أمر يقوم أولاً بتعيين مشاركة "WebDAV" كمحرك محلي (مثل Z:)، ثم بتنفيذ ملف دفعي (`update.cmd`) من ذلك المحرك، وأخيرًا بحذف تعيين المحرك لإخفاء الآثار. تمثل هذه الطريقة التي تسيء استخدام أدوات الإدارة المشروعة للوصول الأولي تحولًا تكتيكيًا لتجاوز ضوابط الأمان التي قد تركز على محركات البرمجة النصية.
تتقدم سلسلة العدوى بدقة متطورة. يعمل ملف الدفعة `update.cmd` المنفذ كأداة تنزيل، حيث يجلب أرشيف ZIP من الإنترنت. بعد الاستخراج، يكشف الحمولة النهائية عن شكل ذكي من القرصنة التطبيقية. يستهدف المهاجمون تطبيق "WorkFlowy" الشرعي لتدوين الملاحظات، لكنهم يعدلون منطق التطبيق الأساسي عن طريق حقن كود ضار في ملف أرشيف `.asar` الخاص بالتطبيق. يُستخدم هذا التنسيق الأرشيفي عادةً في التطبيقات القائمة على "Electron" مثل WorkFlowy لتغليف شفرة المصدر. عن طريق العبث به، تضمن البرمجية الخبيثة أنه عند قيام المستخدم بتشغيل تطبيق WorkFlowy الذي يبدو شرعيًا، ينفذ الكود الخبيث المخفي أولاً. توفر هذه التقنية، المعروفة باسم "العيش على الأرض" أو العبث بالملفات الثنائية، تمويهًا ممتازًا، حيث تظهر العملية كتطبيق موثوق وموقّع.
يخدم الكود الخبيث المضمن داخل تطبيق WorkFlowy وظيفة مزدوجة. يعمل في المقام الأول كمنارة تحكم وقيادة (C2) مستمرة، حيث ينشئ اتصالاً مع بنية المهاجمين التحتية لتلقي المزيد من التعليمات. ثانيًا، يعمل كأداة إسقاط، مسؤولة عن استرداد ونشر الحمولة الخبيثة النهائية على النظام المخترق. يمكن أن تختلف طبيعة هذه الحمولة النهائية المحددة - سواء كانت حصان طروادة للوصول عن بُعد (RAT)، أو سارق معلومات، أو برنامج فدية - بناءً على أهداف المهاجمين. يعقد استخدام العملية متعددة المراحل، المقترن بإساءة استخدام حزمة برمجيات شرعية، عملية الكشف بالنسبة لحلول مكافحة الفيروسات التقليدية وحماية نقاط النهاية التي قد لا تفحص أرشيفات تطبيقات "Electron" المعدلة بعمق.
يؤكد هذا الحملة، المستضافة على النطاق "happyglamper[.]ro"، على اتجاه مقلق في مشهد التهديدات الإلكترونية: التحسين المستمر لأساليب التصيد الاجتماعي المقترن بطرق التنفيذ التقني الأكثر تعقيدًا. بينما لا يعد أمر "net use" ونصوص الدفعة أدوات جديدة، فإن الجمع المحدد بينها في سياق هجمات ClickFix يمثل تحولًا جديدًا في التكتيكات والتقنيات والإجراءات (TTP). يسلط الضوء على قدرة الخصوم على التكيف لتجاوز الإجراءات الدفاعية التي أصبحت أكثر دراية بالهجمات السابقة. بالنسبة لمحترفي الأمن السيبراني، يعزز هذا الحاجة إلى استراتيجيات الدفاع المتعمق التي تشمل تدريبًا قويًا لتوعية المستخدمين ضد مثل هذا التنفيذ "اليدوي" الناتج عن التصيد، وكشفًا متقدمًا عن نقاط النهاية قادرًا على مراقبة السلوك غير الطبيعي للعمليات من التطبيقات الموثوقة، وضوابط على مستوى الشبكة لحظر الاتصالات بخوادم "WebDAV" الخارجية المشبوهة والنطاقات غير المعروفة.
