تحذير عاجل: برمجيات خبيثة تسرق بيانات المستخدمين
رصد خبراء الأمن السيبراني موجة هجمات رقمية جديدة تعتمد على نسخة مطورة من برمجية ClickFix الضارة، والتي تعود هذه المرة بتقنية تمويه أكثر تطورًا عبر واجهة مزيفة توحي بأنها جزء من نظام تحديث ويندوز، بهدف خداع المستخدمين ودفعهم لاتخاذ خطوات تفتح الباب للاختراق.
برمجيات خبيثة تسرق بيانات المستخدمين
وتعتمد الهجمات على صفحة تطابق إلى حد كبير واجهة تحديث نظام مايكروسوفت، وتظهر فجأة لتغطي نافذة المتصفح بالكامل، مستغلة الثقة الشائعة في إشعارات النظام الرسمية، حسبما أعلنت شركة Huntress.
ويُطلب من الضحية تنفيذ أمر جاهز بمجرد الضغط على أزرار Windows + R، في خطوة تبدو للوهلة الأولى بسيطة وضرورية لاستكمال التحديث.
وتنتشر هذه الواجهة المزيفة بشكل خاص داخل مواقع غير آمنة، من بينها صفحات البث ذات المحتوى الإباحي والإعلانات العشوائية، ليجد المستخدم نفسه أمام تحديث وهمي "متوقف عند 95%" بعد ضغطة خاطئة على أي نافذة منبثقة.
آلية خداع متقنة وتنفيذ للهجوم في الخفاء
وعند تنفيذ الأمر المطلوب، تُفعل برمجية mshta المدمجة في نظام ويندوز لتحميل ملف خبيث من خادم بعيد، بينما تُستخدم طبقات من الشيفرة الزائدة كوسيلة لإرباك أنظمة الحماية ومنع اكتشاف الهجوم.
وتكشف التحليلات أيضًا عن استخدام أسلوب غير مألوف لإخفاء أجزاء من التعليمات الخبيثة داخل صورة بصيغة PNG، إذ تُستخرج البيانات المضمنة في البكسلات وتُحقن داخل عمليات أساسية في النظام عبر تقنيات مبنية على .NET.
سرقة بيانات واسعة النطاق
وبعد اختراق الجهاز، تعمل البرمجية على تنزيل أدوات مخصصة لسرقة المعلومات، من بينها Rhadamanthys وLummaC2، تمهيدًا لجمع بيانات حساسة تشمل.
1- كلمات المرور.
2- ملفات الارتباط (Cookies).
3- بيانات الدخول إلى الحسابات البنكية.
4- محافظ العملات المشفرة.
