حملات ClickFix تتوسع في تسليم البرامج الضارة باستخدام تقنيات جديدة ومحاولات خداعية لتحديثات مزيفة

شهدت الفترة الأخيرة تصاعدًا ملحوظًا في هجمات البرامج الضارة التي تعتمد على تقنيات خداعية متطورة، حيث باتت حملات ClickFix واحدة من أبرز الأساليب المستخدمة في نشر البرامج الضارة. وفقًا لتقارير باحثي الأمن السيبراني، توسعت هذه الحملات مؤخرًا لتشمل ثلاث تقنيات تحميل جديدة، هي BabaDeda Loader وLorem Ipsum Loader وPotemkin. وقد رصدت هذه الحملات بشكل مستقل من قبل شركات Morphisec وBlueVoyant وHuntress، مما يبرز خطورة انتشار هذه الأساليب على مستوى عالمي. وعلى وجه الخصوص، رصدت هجمات BabaDeda Loader في أبريل 2026، حيث استهدفت المنظمات التعليمية والمالية، مما يشير إلى أن المهاجمين يركزون على قطاعات حيوية ذات بيانات حساسة.

تعود أصول BabaDeda إلى عام 2021، عندما وثق باحثو Morphisec لأول مرة خدمة криpter تُعرف باسم BabaDeda، كانت تستخدم في توزيع برامج سرقة المعلومات وبرامج الوصول عن بعد (RATs) وبرامج الفدية مثل LockBit. وقد تطورت هذه الخدمة الآن لتصبح إطار عمل متكامل قادر على تسليم حمولات خبيثة متعددة، مع التركيز على Stealth والاختباء من أدوات الأمن التقليدية. يعتمد المهاجمون في هذه الحملات على تقنيات اجتماعية مثل ClickFix، والتي تخدع المستخدمين لتشغيل أوامر PowerShell مزيفة، مما يتيح لهم تسليم حمولات خبيثة مخفية داخل حزم seemingly legitimate. وتستخدم هذه الحملات تقنيات متقدمة مثل PowerShell المخفي وتنفيذ الشفرات في الذاكرة (in-memory shellcode) وDLL side-loading، بالإضافة إلى تخزين الحمولات الخارجية خارج الملفات الظاهرة، مما يجعل من الصعب اكتشافها وتحليلها.

كيف تعمل حملات ClickFix؟

تعتمد حملات ClickFix على أسلوب اجتماعي خادع يهدف إلى خداع المستخدمين لتثبيت تحديثات مزيفة أو برامج تبدو شرعية. في هذه الحملات، يتلقى المستخدمون رسائل أو إشعارات تدعي وجود تحديث عاجل لبرنامج معين، مثل أداة أمان أو برنامج نظام. وعند تشغيل هذه "التحديثات"، يتم تشغيل أوامر PowerShell خبيثة تقوم بتنزيل وتثبيت أحمال برامج ضارة مخفية داخل حزم تبدو طبيعية. على سبيل المثال، يمكن أن تكون الحزمة عبارة عن مثبت seemingly لبرنامج Adobe Acrobat أو Java، لكن في الواقع، تحتوي على حمولات خبيثة مخفية داخل حاويات خارجية مثل ملفات DAT.

تستخدم هذه الحملات تقنيات متقدمة لإخفاء نشاطها الضار، بما في ذلك استخدام DLL side-loading، حيث يتم تحميل مكتبات DLL مشروعة من قبل نظام التشغيل، لكنها تحتوي على أكواد خبيثة يتم تنفيذها في الذاكرة. بالإضافة إلى ذلك، يتم استخدام تقنيات مثل in-memory shellcode، حيث يتم تنفيذ الشفرات الخبيثة مباشرة في الذاكرة دون ترك أي أثر على القرص الصلب. وهذا يجعل من الصعب على أدوات الأمن التقليدية اكتشاف هذه الحملات، حيث لا توجد ملفات ضارة واضحة يمكن تحليلها.

BabaDeda Loader: تطور في تقنيات التحميل

يعتبر BabaDeda Loader واحدًا من أكثر التقنيات تطورًا المستخدمة في هذه الحملات. فقد evolved من خدمة криpter بسيطة إلى إطار عمل متكامل قادر على تسليم حمولات خبيثة متعددة. يعتمد BabaDeda على تقنيات متقدمة لإخفاء نشاطه، بما في ذلك استخدام تقنيات مثل hidden PowerShell وin-memory shellcode وDLL side-loading. بالإضافة إلى ذلك، يقوم BabaDeda بإجراء فحوصات على النظام قبل تحميل الحمولة الرئيسية، بما في ذلك التحقق من وجود برامج أمنية معينة، وتجنب تشغيله على أنظمة روسية أو بيلاروسية.

يتميز BabaDeda بقدرته على حقن الحمولات الخبيثة في عمليات نظام مشروعة مثل svchost.exe، مما يجعل من الصعب اكتشافها من قبل أدوات الأمن. كما يدعم BabaDeda مجموعة واسعة من الوظائف، بما في ذلك جمع البيانات الحساسة وإنشاء قنوات مشفرة مع خوادم القيادة والتحكم (C2). وقد رصدت هجمات BabaDeda مؤخرًا استخدامه لتوزيع backdoor وinformation stealer قادر على جمع البيانات من الأنظمة المصابة، بالإضافة إلى إنشاء قنوات اتصال مشفرة مع خوادم C2.

Lorem Ipsum Loader وPotemkin: تقنيات خبيثة جديدة

إلى جانب BabaDeda Loader، رصدت حملات ClickFix استخدام تقنيات تحميل جديدة مثل Lorem Ipsum Loader وPotemkin. وعلى الرغم من أن التفاصيل حول هذه التقنيات لا تزال محدودة، إلا أن الباحثين يشيرون إلى أنها تعتمد على نفس الأساليب الخبيثة المستخدمة في BabaDeda Loader، مثل استخدام DLL side-loading وتخزين الحمولات الخارجية. وقد رصدت هجمات Potemkin مؤخرًا في هجمات تستهدف قطاعات مختلفة، مما يشير إلى أن المهاجمين يعملون على تطوير تقنيات جديدة لزيادة فعالية حملاتهم.

تعتبر تقنيات Lorem Ipsum Loader وPotemkin مثالًا على كيفية تطور أساليب البرامج الضارة باستمرار، حيث يسعى المهاجمون إلى إيجاد طرق جديدة لإخفاء نشاطهم الضار وتجنب اكتشافه من قبل أدوات الأمن. وعلى الرغم من أن هذه التقنيات لا تزال جديدة نسبيًا، إلا أن الباحثين يحذرون من خطورتها المحتملة، خاصة إذا ما تم تطويرها بشكل أكبر في المستقبل.

القطاعات المستهدفة: التعليم والمال في مرمى النيران

تركز هجمات BabaDeda Loader مؤخرًا على قطاعات التعليم والمال، مما يعكس اهتمام المهاجمين بجمع البيانات الحساسة والمعلومات المالية. ففي القطاع التعليمي، يمكن أن تحتوي الأنظمة على بيانات طلاب وموظفين حساسة، بينما تحتوي أنظمة القطاع المالي على معلومات مالية حساسة مثل بيانات البطاقات الائتمانية وتفاصيل الحسابات المصرفية. وقد رصدت هجمات BabaDeda في أبريل 2026 استهداف هذه القطاعات بشكل خاص، مما يشير إلى أن المهاجمين يسعون إلى تحقيق أقصى قدر من الفائدة من هذه الهجمات.

تعتبر هذه الهجمات خطيرة بشكل خاص لأنها تستهدف قطاعات حيوية تعتمد على بيانات حساسة. فعلى سبيل المثال، في القطاع التعليمي، يمكن أن تؤدي هجمات البرامج الضارة إلى تسريب بيانات الطلاب والموظفين، مما قد يتسبب في انتهاكات خصوصية كبيرة. وفي القطاع المالي، يمكن أن تؤدي هذه الهجمات إلى سرقة بيانات مالية حساسة، مما قد يتسبب في خسائر مالية كبيرة للمؤسسات والأفراد.

تقنيات الإخفاء والتخفي: كيف يتجنب المهاجمون الاكتشاف؟

تعتمد حملات ClickFix على مجموعة من التقنيات المتقدمة لإخفاء نشاطها الضار وتجنب اكتشافه من قبل أدوات الأمن. واحدة من هذه التقنيات هي استخدام DLL side-loading، حيث يتم تحميل مكتبات DLL مشروعة من قبل نظام التشغيل، لكنها تحتوي على أكواد خبيثة يتم تنفيذها في الذاكرة. بالإضافة إلى ذلك، يتم استخدام تقنيات مثل in-memory shellcode، حيث يتم تنفيذ الشفرات الخبيثة مباشرة في الذاكرة دون ترك أي أثر على القرص الصلب.

كما تعتمد هذه الحملات على استخدام حاويات خارجية لتخزين الحمولات الخبيثة، مثل ملفات DAT. ويتم قراءة هذه الحاويات فقط عند التنفيذ، مما يقلل من forensic visibility ويجعل من الصعب على أدوات الأمن تحليل النشاط الضار. بالإضافة إلى ذلك، يتم استخدام تقنيات مثل Storage Crypter، الذي يقرأ الحمولات من ملفات خارجية مثل "List.Control.dat"، مما يجعل من الصعب اكتشاف النشاط الضار قبل التنفيذ.

الآثار المترتبة على المؤسسات والأفراد

تعتبر حملات ClickFix تهديدًا خطيرًا على المؤسسات والأفراد على حد سواء. فعلى مستوى المؤسسات، يمكن أن تؤدي هذه الهجمات إلى تسريب بيانات حساسة، ووقف العمليات، وفقدان الثقة من قبل العملاء. فعلى سبيل المثال، في القطاع التعليمي، يمكن أن تؤدي هجمات البرامج الضارة إلى تسريب بيانات الطلاب والموظفين، مما قد يتسبب في انتهاكات خصوصية كبيرة. وفي القطاع المالي، يمكن أن تؤدي هذه الهجمات إلى سرقة بيانات مالية حساسة، مما قد يتسبب في خسائر مالية كبيرة للمؤسسات والأفراد.

أما على المستوى الفردي، يمكن أن تؤدي هذه الهجمات إلى سرقة البيانات الشخصية والمالية، مثل كلمات المرور وبيانات البطاقات الائتمانية. كما يمكن أن تؤدي إلى إصابة الأجهزة ببرامج الفدية، مما قد يتسبب في فقدان البيانات أو مطالبات بفدية مالية. ولذلك، من الضروري أن يتخذ الأفراد والمؤسسات خطوات فعالة لحماية أنفسهم من هذه الهجمات.

كيفية حماية الأنظمة من هجمات ClickFix

لحماية الأنظمة من هجمات ClickFix، من الضروري اتخاذ مجموعة من الإجراءات الأمنية الفعالة.首先، يجب توعية المستخدمين حول مخاطر النقر على روابط أو تثبيت تحديثات مشبوهة. كما يجب تحديث الأنظمة والبرامج بانتظام لتجنب استغلال الثغرات الأمنية المعروفة. بالإضافة إلى ذلك، يجب استخدام أدوات أمنية متقدمة قادرة على اكتشاف الأنشطة المشبوهة، مثل أدوات كشف التسلل (IDS) وأدوات الحماية من البرامج الضارة المتقدمة.

على مستوى المؤسسات، يجب تطبيق مبدأ أقل الامتيازات (Least Privilege)، مما يعني منح المستخدمين والموظفين فقط الامتيازات اللازمة لأداء وظائفهم. كما يجب تحديث أنظمة الأمن بانتظام واختبارها للتأكد من فعاليتها. بالإضافة إلى ذلك، يجب إجراء تقييمات دورية للثغرات الأمنية واختبار الاختراق (Penetration Testing) لتحديد نقاط الضعف في الأنظمة.

ما الذي يجب مراقبته في المستقبل؟

على الرغم من أن هجمات ClickFix تمثل تهديدًا خطيرًا في الوقت الحالي، إلا أن المهاجمين يعملون باستمرار على تطوير تقنيات جديدة لزيادة فعالية حملاتهم. ولذلك، من الضروري أن يظل الباحثون والمتخصصون في الأمن السيبراني يقظين، وأن يستمروا في مراقبة التطورات الجديدة في هذا المجال. من المتوقع أن نشهد في المستقبل استخدام تقنيات متقدمة مثل الذكاء الاصطناعي في تطوير برامج ضارة أكثر تعقيدًا، مما يجعل من الصعب اكتشافها باستخدام الأساليب التقليدية.

كما من المتوقع أن تستمر هجمات ClickFix في استهداف قطاعات حيوية مثل التعليم والمال، مما يستدعي زيادة الوعي الأمني في هذه القطاعات. بالإضافة إلى ذلك، من المتوقع أن نشهد زيادة في استخدام تقنيات الإخفاء والتخفي المتقدمة، مثل استخدام تقنيات machine learning لتجنب اكتشاف البرامج الضارة. ولذلك، من الضروري أن تظل المؤسسات والأفراد على اطلاع دائم بأحدث التطورات في مجال الأمن السيبراني، وأن يتخذوا الإجراءات اللازمة لحماية أنفسهم من هذه التهديدات.