لا تزال هجمات الهندسة الاجتماعية واحدة من أكثر الأساليب انتشارًا لاختراق الأجهزة أو سرقة بيانات المستخدمين. وعندما تُنفَّذ هذه الهجمات بذكاء، يمكن أن تخلّف آثارًا خطيرة جدًا. وفي الحالة التي نتحدث عنها هنا، وصل الأمر إلى استخدام شاشة مزيّفة لتحديثات ويندوز لخداع الضحية.
كشف باحثون في الأمن السيبراني عن تطوّر جديد وخطير في هجمات تُعرف باسم ClickFix، حيث بدأ المهاجمون يمزجون بين شاشات تحديث ويندوز المزوّرة ورسائل التحقق الزائفة، وبين أساليب هندسة اجتماعية أكثر تطورًا من المعتاد. ولمن لم يسمع بهذا النوع من الهجمات، ففكرته الأساسية هي دفع المستخدم إلى القيام يدويًا بأشياء كان من المفترض أن يمنعها برنامج الحماية لو حاول النظام تنفيذها تلقائيًا.
في النسخ الجديدة من هذه الهجمات، يجد الضحية نفسه أمام صفحة متصفح تغطي الشاشة بالكامل، تعرض تحديثًا أمنيًا "عاجلًا" لويندوز أو اختبار "تحقق من أنك إنسان". وتطلب الصفحة من المستخدم الضغط على مجموعة محددة من الأزرار “لحل المشكلة”. ما لا يعرفه المستخدم هو أن الموقع الخبيث يكون قد نسخ مسبقًا أمرًا ضارًا إلى الحافظة (Clipboard) باستخدام JavaScript. وعندما يفتح المستخدم نافذة “تشغيل” (Run) أو موجّه الأوامر ويلصق النص كما طُلب منه، فهو في الحقيقة يشغّل تعليمات المهاجم دون أن يدري.
الطريقة مخادعة وذكية، وهذا ما يجعلها خطيرة. أما العنصر الجديد في هذا الهجوم فهو استخدام الإخفاء داخل الصور (Steganography) لتمرير البرمجيات الخبيثة. بدل تنزيل ملف مشبوه، يقوم المهاجمون بإخفاء الكود الضار داخل بيانات بكسلات صور PNG. من الخارج، تبدو الصورة عادية تمامًا، ولا يثير فحص بسيط أية شبهة. لكن سلسلة الهجوم تتضمن أداة مبنية بتقنية .NET تُعرف باسم Stego Loader، وظيفتها استخراج الشيفرة المشفرة من داخل الصورة ثم فكّها وتشغيلها في الذاكرة مباشرة.
بتفاصيل أوضح: يزور الضحية موقعًا يعرض شاشة خطأ مزيّفة، مثل تحديث ويندوز عالق أو طلب تحقق. في الخلفية، يقوم الموقع بنسخ كود ضار إلى الحافظة. ثم يطلب من المستخدم فتح نافذة التشغيل ولصق أمر "الإصلاح". بمجرد تنفيذ الأمر، يُحمِّل الجهاز صورة تبدو بريئة تمامًا، لكنها تحمل بداخلها البرمجية الخبيثة التي يقوم الـ Stego Loader بفكّها وتشغيلها. وحتى يزيدوا الأمر تعقيدًا، يبدأ الكود بتنفيذ آلاف الوظائف الفارغة لإرباك أدوات تحليل البرمجيات قبل تشغيل الحمولة الحقيقية.
أغلب الأشخاص المتمرسين بالتقنية لن يقعوا بسهولة في هذا الفخ، لكن تخيّل شخصًا كبيرًا في السن أو قليل الخبرة، يضغط على رابط خاطئ… النتيجة قد تكون كارثية. قد تمنع جزءًا من هذا الخطر مثل تعطيل نافذة التشغيل في جهاز أحد أفراد العائلة، لكن في الواقع لا توجد وسيلة حماية مضمونة بالكامل.