طورت عملية برنامج الفدية المعروفة باسم LeakNet استراتيجية الوصول الأولي بشكل كبير من خلال نشر تكتيك الهندسة الاجتماعية "ClickFix" عبر مواقع إنترنت شرعية مخترقة. وفقًا لتقرير تقني جديد من شركة الأمن السيبراني ReliaQuest، يمثل هذا تحولًا استراتيجيًا بعيدًا عن الطرق التقليدية مثل شراء بيانات الاعتماد المسروقة من وسطاء الوصول الأولي (IABs). تهاجم هجمات ClickFix المستخدمين عن طريق خداعهم لتنفيذ أوامر ضارة يدويًا تحت ذريعة إصلاح خطأ مُفتعل، مثل فشل تحقق CAPTCHA مزيف. تتيح هذه الطريقة لمهددي الأمن تجاوز ضوابط الأمن التقنية من خلال استغلال ثقة الإنسان وسير العمل الروتيني، مما يلقي شبكة واسعة عبر مختلف الصناعات بدلاً من استهداف قطاع محدد.
الابتكار التقني الثاني والحرج في سلسلة هجوم LeakNet هو نشر محمل متطور ومتدرج للتحكم والأمر (C2) مبني على بيئة تشغيل Deno لجافا سكريبت. تم تصميم هذا المحمل لتنفيذ الحمولات الضارة مباشرة في الذاكرة (تقنية تُعرف بالتنفيذ "بدون ملفات")، مما يعيق بشكل كبير الكشف عن طريق حلول مكافحة الفيروسات التقليدية التي تعتمد على فحص الملفات المكتوبة على القرص. يوفر استخدام Deno، وهو بيئة تشغيل حديثة لجافا سكريبت وTypeScript، للمهاجمين منصة قوية ومرنة لتنسيق أنشطة ما بعد الاستغلال، مما يزيد من إخفاء عملياتهم عن أدوات الأمان.
إن تقارب هذين التكتيكين—الهندسة الاجتماعية للوصول والتنفيذ المتقدم في الذاكرة للنشر—يخلق تسلسل هجوم قوي وقابل للتكرار. كما يلاحظ محللو ReliaQuest، فإن البصيرة الدفاعية الرئيسية هي أنه بغض النظر عن نقطة الدخول الأولية (ClickFix أو الوصول المشترى)، فإن سلوكيات ما بعد الاستغلال متسقة. وهذا يوفر للمدافعين فرص كشف ملموسة في مراحل مختلفة من دورة حياة الهجوم، قبل وقت طويل من نشر حمولة الفدية النهائية. إن فهم هذا التسلسل—من الطعم المتمثل في CAPTCHA المزيف إلى محمل الذاكرة القائم على Deno—أمر بالغ الأهمية لبناء كشف سلوكي يمكنه تعطيل سلسلة الهجوم مبكرًا.
الفوائد التشغيلية لـ LeakNet كبيرة. تقلل طريقة ClickFix من الاعتماد على وسطاء الوصول من أطراف ثالثة متقلبين، وتخفض تكلفة الحصول على كل ضحية، وتلغي عنق الزجاجة المتمثل في انتظار ظهور بيانات اعتماد شركات قيمة في الأسواق السفلية. ظهر LeakNet لأول مرة في نوفمبر 2024 ووصف نفسه بأنه "كلب حراسة رقمي" من أجل "حرية الإنترنت"، وقد استهدف كيانات صناعية، وفقًا لبيانات من شركة أمن الصناعة السيبراني Dragos. إن اعتماده لهذه التقنيات المتقدمة يشير إلى اتجاه أوسع حيث تزيد مجموعات برامج الفدية من تسليح تفاعلات المستخدم الموثوقة والاستفادة من منصات التطوير الحديثة مثل Deno لتعزيز التخفي والفعالية.
