ابتكر المتسللون طريقة جديدة خادعة لخداع المستخدمين لتثبيت برنامج ضار يسمى ClickFix، وفقًا لشركة Proofpoint للأمن السيبراني. ويتضمن المخطط إغراء المستخدمين بحلول زائفة للأخطاء الشائعة في الخدمات الشائعة مثل Chrome وOneDrive وMicrosoft. بمجرد قيام المستخدمين بتنزيل هذه “الإصلاحات” وتنفيذها عن طريق النقر فوق الزر “نسخ الإصلاح”، يقومون عن غير قصد بتشغيل أمر PowerShell أو أمر حوار Windows Run الذي يعرض أنظمتهم للخطر.
يقوم هذا الحوار بتثبيت “شهادة جذر” لمسح ذاكرة التخزين المؤقت لنظام أسماء النطاقات، وإزالة محتوى الحافظة، وإظهار رسالة مزيفة، وتثبيت برنامج PowerShell النصي الإضافي عن بعد الذي يقوم بإجراء فحص لمكافحة VM قبل تثبيت أداة سرقة المعلومات. يُزعم أن مجموعات مختلفة من المتسللين، بما في ذلك المسؤولين عن ClearFake، تستخدم هذه الطريقة. توضح Proofpoint كيفية استغلال المتسللين للمواقع المعرضة للخطر من خلال دمج برنامج نصي ضار تم تسليمه بواسطة عقد Binance Smart Chain على blockchain لنشر البرامج الضارة وإصابة أجهزة الكمبيوتر التي تعمل بنظام Windows.
سيقوم البرنامج النصي بإجراء سلسلة من الاختبارات لمعرفة ما إذا كان جهاز الكمبيوتر الخاص بك مرشحًا مقبولاً قبل تنزيل المزيد من الحمولات. ولا ينتهي الأمر عند هذا الحد نظرًا لأن المستخدمين يحتاجون أيضًا إلى أن يكونوا على دراية بالتهديد القائم على البريد الإلكتروني والذي يستخدم مرفقات HTML مع نظرة Word إليهم. ستشجع هذه المرفقات المستخدمين على تنزيل ملحق “Word Online” لرؤية الملف.
يتمتع هذا التهديد الآخر أيضًا بمستوى عالٍ من تفاعل المستخدم حيث يلزم تنفيذ أمر PowerShell. رصدت Proofpoint حمولات مثل Matanbuchus وDarkGate وNetSupport وXM Rig وAmadey Loader وخاطف الحافظة وLumma Stealer.
على الرغم من أن هذا قد يبدو مخيفًا، إلا أن هناك الكثير من الاحتياطات التي يمكنك اتخاذها لمنع الوقوع ضحية لهذا النوع من الهجمات الخادعة. أحد هذه الاحتياطات هو استخدام أحد أفضل برامج مكافحة الفيروسات، مثل Norton أو Bitdefender. كن حذرًا دائمًا بشأن المرفقات التي تقوم بتنزيلها، حتى من مصدر موثوق به. تذكر عدم نسخ أو لصق أي رمز أبدًا إلا إذا كنت تعرف ما يفعله.
ومن خلال اتخاذ هذه الاحتياطات والبقاء على اطلاع بأحدث التهديدات، يمكنك زيادة فرص تجنبها.