برمجية جديدة تنتحل تحديث ويندوز لسرقة بيانات المستخدمين والحسابات البنكية
برمجية جديدة تنتحل تحديث ويندوز لسرقة بيانات المستخدمين والحسابات البنكي
كتب محمد أشرف
عاد مجرمو الإنترنت بأسلوب أكثر جرأة عبر نسخة مطورة من برمجية ClickFix الخبيثة التي أصبحت تتخفى داخل شاشة وهمية لتحديث نظام ويندوز، مستهدفة المستخدمين الذين يثقون بأي نافذة تحمل شعار التحديث الرسمي. وتُظهر الهجمة شاشة كاملة تغطي المتصفح وتبدو واقعية لدرجة تدفع الكثيرين لتنفيذ تعليمات خطيرة بمجرد ظهور نافذة “التحديث” المزورة.
وبحسب باحثين في شركة Huntress، تظهر الشاشة المزيفة غالباً داخل مواقع مشبوهة، خصوصاً صفحات البث الإباحية المليئة بالإعلانات، حيث تكفي ضغطة واحدة على إعلان عشوائي ليتحول المتصفح إلى صفحة تحديث عالقة عند 95% تطلب من المستخدم الضغط على Windows + R ولصق أمر جاهز لإكمال التحديث. وما إن ينفذ المستخدم هذه الخطوة حتى يبدأ الهجوم الفعلي.
ويعمل الأمر الذي ينسخه المستخدم على تشغيل أداة mshta المدمجة في ويندوز لتحميل برمجية خبيثة من خادم خارجي. ولصعوبة اكتشاف الهجمة، يضيف المهاجمون شيفرات بلا قيمة داخل الملف لإرباك برامج الحماية، كما يخفون أجزاء من التعليمات داخل صورة PNG تُستخرج منها الأوامر وتحقن داخل عمليات النظام باستخدام .NET.
وبعد نجاح الاختراق تبدأ المرحلة الثانية التي تعتمد على تنزيل أدوات سرقة المعلومات مثل Rhadamanthys وLummaC2 لجمع كلمات المرور وملفات تعريف الارتباط وبيانات الحسابات البنكية ومحافظ العملات الرقمية وإرسالها مباشرة إلى خوادم المهاجمين.
وتشير التقارير إلى أن الحملة ما زالت نشطة منذ أكتوبر الماضي مع وجود عدة نطاقات مخصصة لصفحات التحديث المزيف، كما لاحظ الباحثون وجود أسطر عشوائية داخل الشيفرة من بينها إشارة غريبة لخطاب قديم في الأمم المتحدة بهدف إرباك المحللين الأمنيين وإطالة وقت التحليل
