ClickFix هاكرز يتنكرون كشركات رأس مال مخاطر ويهاجمون مستخدمي العملات المشفرة، و QuickLens يختطف ويكشف عن الأنشطة الخبيثة

أصدرت شركة مونلوك لاب للأمن السيبراني يوم الاثنين تقريرًا يكشف عن أحدث أساليب الهجوم التي يستخدمها قراصنة العملات الرقمية، والتي تركز على تقنية “ClickFix”: حيث يتنكر المحتالون في هيئة شركات رأس مال مغامر مزيفة مثل SolidBit وMegaBit للتواصل مع محترفي العملات الرقمية عبر لينكدإن بهدف عرض فرص تعاون، وفي النهاية يوجهون الضحايا لتنفيذ أوامر خبيثة على أجهزتهم لسرقة الأصول المشفرة.

تحليل طريقة هجوم ClickFix: حول الضحية إلى مرتكب للهجوم

تكمن الابتكار الأساسي في هجمات ClickFix في تعطيل مسارات العدوى التقليدية للبرمجيات الخبيثة. عادةً ما تتضمن عملية الهجوم المراحل التالية:

المرحلة الأولى (اختراق اجتماعي عبر لينكدإن): يتواصل القراصنة مع المستخدمين المستهدفين باسم شركات رأس مال مغامر مزيفة، ويعرضون عليهم فرص تعاون تبدو شرعية، مما يبني ثقة مبدئية.

المرحلة الثانية (رابط فيديو مزيف): يوجه الهدف إلى رابط احتيالي متنكر في هيئة Zoom أو Google Meet، يؤدي إلى صفحة محاكاة لحدث افتراضي.

المرحلة الثالثة (اختطاف الحافظة): تعرض الصفحة مربع تحقق مزيف من Cloudflare بعنوان “أنا لست روبوت”، وعند النقر عليه، يتم نسخ أوامر خبيثة بهدوء إلى حافظة المستخدم.

المرحلة الرابعة (التنفيذ الذاتي): يُطلب من المستخدم فتح جهازه ولصق “رمز التحقق”، والذي في الواقع هو تنفيذ لأمر هجوم خبيث.

وأشار فريق أبحاث مونلوك إلى أن “كفاءة تقنية ClickFix تكمن في أنها تحول الضحية إلى آلية تنفيذ للهجوم بنفسه. من خلال السماح للضحية بلصق وتنفيذ الأوامر بنفسه، يتجاوز المهاجم أنظمة الحماية التي طورتها صناعة الأمن على مر السنين — دون الحاجة إلى استغلال ثغرات أو إثارة سلوك تحميل مشبوه.”

تفاصيل حادثة اختطاف QuickLens وقائمة الميزات الخبيثة

تقدم حالة اختطاف QuickLens مسار هجوم آخر، وهو هجوم على نمط سلسلة التوريد ضد المستخدمين الشرعيين الحاليين:

• 1 فبراير: انتقال ملكية إضافة QuickLens (نقل الملكية)
• بعد أسبوعين: إصدار المالك الجديد نسخة محدثة تحتوي على سكريبتات خبيثة
• 23 فبراير: كشف الباحث الأمني Tuckner أن الإضافة أزيلت من متجر Chrome الإلكتروني

قائمة الميزات الخبيثة تشمل:

• البحث عن وسرقة بيانات محافظ العملات المشفرة والعبارات البذرية (Seed Phrase)
• جمع محتوى صندوق البريد Gmail للمستخدمين
• سرقة بيانات قناة يوتيوب
• التقاط بيانات الدخول ومعلومات الدفع المدخلة في نماذج الويب

وفقًا لتقرير eSecurity Planet، فإن الإضافة المختطفة تنشر كل من وحدة هجوم ClickFix وأدوات سرقة معلومات أخرى، مما يدل على أن الجهات الفاعلة وراءها تمتلك القدرة على العمل باستخدام أدوات متعددة بشكل متزامن.

خلفية التهديد الأوسع لتقنية ClickFix

أشار فريق مونلوك إلى أن تقنية ClickFix اكتسبت شعبية واسعة بين الجهات المهددة منذ عام 2025، وتتمثل ميزتها الأساسية في استغلال السلوك البشري بدلاً من الثغرات البرمجية، مما يتجاوز بشكل كبير منطق الكشف التقليدي في أدوات الأمان.

حذرت إدارة استخبارات التهديدات في شركة مايكروسوفت في أغسطس 2025 من أنها تتابع “نشاط هجمات يومي يستهدف آلاف الشركات والأجهزة الطرفية حول العالم”. وفي تقرير صدر في يوليو 2025، أكدت شركة Unit42 لأبحاث التهديدات أن تقنية ClickFix أثرت على صناعات متعددة، بما في ذلك التصنيع، والتجزئة، والحكومات المحلية والولائية، وقطاعات الطاقة والمرافق، متجاوزة بكثير قطاع العملات الرقمية وحده.

الأسئلة الشائعة

لماذا يمكن لهجمات ClickFix أن تتجاوز برامج مكافحة الفيروسات والأمان بنجاح؟
المنطق في تصميم برامج مكافحة الفيروسات التقليدية هو التعرف على البرامج المشبوهة ومنع تنفيذها تلقائيًا. أما تقنية ClickFix فتكمن في جعل “الإنسان” هو المنفذ — حيث يختار الضحية ويقوم بتنفيذ الأوامر بنفسه، بدلاً من أن يتم زرع البرمجيات الخبيثة تلقائيًا، مما يصعب على أدوات الكشف السلوكي التعرف عليها كتهديدات، لأن الطرفية تظهر كأنها عملية مستخدم عادية.

كيف يمكن التعرف على هجمات الهندسة الاجتماعية من نوع ClickFix؟
العلامات الرئيسية تشمل: تلقي عروض شراكة من حسابات لينكدإن غير معروفة، وطلب إدخال “رمز تحقق” أو “خطوة تصحيح” بعد النقر على روابط الاجتماعات، وأي تعليمات تطلب منك فتح الطرفية (موجه الأوامر) ولصق رمز، بالإضافة إلى واجهات تحقق مزيفة متنكرة في هيئة Cloudflare أو CAPTCHA. المبدأ الأمني هو: أي خدمة شرعية لا تتطلب من المستخدم تنفيذ أوامر في الطرفية لإتمام عملية التحقق.

ما الإجراءات التي ينبغي على مستخدمي QuickLens اتخاذها الآن؟
إذا قمت بتثبيت إضافة QuickLens، يجب إزالتها فورًا من المتصفح، واستبدال جميع محافظ العملات المشفرة التي قد تكون تعرضت للخطر (عن طريق إنشاء عبارة بذرية جديدة وتحويل الأموال إلى محفظة جديدة)، بالإضافة إلى إعادة تعيين كلمات مرور حسابات Gmail وغيرها من الحسابات المرتبطة. يُنصح بمراجعة إضافات المتصفح المثبتة بانتظام، والبقاء يقظًا لأي تغييرات في ملكية الإضافات الحديثة.