- أداة الصور المزيفة التي تحتل مرتبة عالية في نتائج البحث تخدع المستخدمين لتشغيل البرامج الضارة باستخدام تكتيكات ClickFix
- يتم إصابة الضحايا أولاً ببرنامج CastleLoader، الذي يقوم بعد ذلك بنشر NetSupport RAT وCastleStealer المخصص
- تسلط الحملة الضوء على كيف يمكن لتسمم تحسين محركات البحث (SEO) والهندسة الاجتماعية أن يحولا المهام البسيطة إلى سرقة بيانات الاعتماد والتسوية عن بعد
يقول باحثون أمنيون إن أحد مواقع الويب التي تعد بإزالة الخلفيات من صور السيلفي تضع في الواقع برامج ضارة لسرقة المعلومات على أجهزة كمبيوتر المستخدمين.
خبراء الأمن السيبراني في Huntress خدش كيف اكتشفوا موقع ويب تمكن من الوصول إلى أعلى صفحات نتائج محرك البحث من خلال تسمم محركات البحث. لذلك، عندما يبحث الأشخاص عن أدوات إزالة الخلفية، هناك احتمال كبير أن يصلوا إلى موقع الويب الضار هذا.
عندما يقومون بتحميل صورهم إلى هذه الخدمة، لا تتم معالجتها فعليًا. لا يتم تحميل أي شيء أو مشاركته بأي شكل من الأشكال. ومع ذلك، يطلب موقع الويب بعد ذلك من المستخدم “التحقق من أنك إنسان” عن طريق فتح Windows Run ولصق الأمر المنسوخ في الحافظة.
CastleLoader وCastleStealer وNetSupport RAT
بطريقة ClickFix النموذجية، يطلب المهاجمون من الضحايا تشغيل البرامج الضارة بأنفسهم، ثم إصابة أجهزتهم أولاً بـ CastleLoader. هذا هو الشاحن الرئيسي الذي يستخدم لتوصيل رسوم إضافية.
باستخدام CastleLoader، يمكن للأشرار بعد ذلك تنفيذ المرحلة الثانية البرامج الضارة بما في ذلك NetSupport RAT وCastleStealer.
الأول عبارة عن حصان طروادة للوصول عن بعد (RAT) الذي يمنح المهاجمين إمكانية الوصول عن بعد إلى الأنظمة المصابة، في حين أن الأخير عبارة عن لص .NET مخصص يستهدف بيانات اعتماد المتصفح وبيانات محفظة التشفير ورموز Discord وملفات جلسة Telegram.
وأوضح Huntress: “ما بدأ بمحاولة شخص ما إزالة خلفية من صورة شخصية، انتهى مع لص .NET مخصص يقوم بالتمرير عبر كلمات مرور المتصفح، وخزائن محفظة العملات المشفرة، وجلسة Telegram، بالإضافة إلى NetSupport RAT الذي يتم إسقاطه على محرك الأقراص لمزيد من الوصول”.
يمكن التخفيف من هجمات ClickFix من خلال التعليم – يجب أن يعلم المستخدمون أنه لن تطلب منهم أي خدمة شرعية التحقق من أنهم ليسوا روبوتًا ينفذ إجراءات على الجهاز (على سبيل المثال، تشغيل برنامج محليًا). وبدلاً من ذلك، يمكن للمسؤولين تعطيل اختصار Win + R لـ Run، مما يقلل من احتمال قيام الضحايا بالفعل بتشغيل تعليمات برمجية ضارة.
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
