تعمل حملة ClickFix الجديدة على جذب المستخدمين إلى صفحات مؤتمرات Google Meet الاحتيالية التي تعرض أخطاء اتصال زائفة توفر برامج ضارة لسرقة المعلومات لأنظمة التشغيل Windows وmacOS.
ClickFix هو تكتيك للهندسة الاجتماعية ظهر في شهر مايو، وتم الإبلاغ عنه لأول مرة من قبل شركة الأمن السيبراني Proofpoint، من جهة تهديد (TA571) استخدمت رسائل تنتحل أخطاء في Google Chrome، وMicrosoft Word، وOneDrive.
دفعت الأخطاء الضحية إلى نسخ جزء من كود PowerShell إلى الحافظة والذي من شأنه حل المشكلات عن طريق تشغيله في موجه أوامر Windows.
وهكذا سيفعل الضحايا”https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/” الهدف=”_blank”> تصيب الأنظمة مع العديد من البرامج الضارة مثل DarkGate، وMatanbuchus، وNetSupport، وAmadey Loader، وXMRig، وخاطف الحافظة، وLumma Stealer.
في يوليو،”https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clickfix-deception-a-social-engineering-tactic-to-deploy-malware/” الهدف=”_blank” rel=”nofollow noopener”> ذكرت مكافي أن حملات ClickFix أصبحت شائعة، خاصة في الولايات المتحدة واليابان.
يشير تقرير جديد من Sekoia، مزود الأمن السيبراني SaaS، إلى أن حملات ClickFix تطورت بشكل كبير وتستخدم الآن إغراء Google Meet، ورسائل البريد الإلكتروني التصيدية التي تستهدف شركات النقل والخدمات اللوجستية، وصفحات Facebook المزيفة، ومشكلات GitHub الخادعة.
المصدر: سيكويا
وفقًا لشركة الأمن السيبراني الفرنسية، يتم تنفيذ بعض الحملات الأحدث من قبل مجموعتين من التهديدات، وهما Slavic Nation Empire (SNE) وScamquerteo، اللتين تعتبران فرقًا فرعية من عصابات الاحتيال في العملات المشفرة.”https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/” الهدف=”_blank”> ماركو بولو و كريبتو لاف.
المصدر: سيكويا
فخ Google Meet
تستخدم جهات التهديد صفحات مزيفة لبرنامج Google Meet، وهو جزء من خدمة اتصالات الفيديو في مجموعة Google Workspace، المشهور في بيئات الشركات للاجتماعات الافتراضية والندوات عبر الإنترنت والتعاون عبر الإنترنت.
قد يرسل المهاجم رسائل بريد إلكتروني للضحايا تبدو وكأنها دعوات Google Meet مشروعة تتعلق باجتماع/مؤتمر عمل أو أي حدث مهم آخر.
تشبه عناوين URL إلى حد كبير روابط Google Meet الفعلية:
- يقابل[.]جوجل[.]لنا الانضمام[.]com
- يقابل[.]جوجل[.]الانضمام إلى الويب[.]com
- يقابل[.]googie[.]com-join[.]نحن
- يقابل[.]جوجل[.]آلية التنمية النظيفة الانضمام[.]نحن
بمجرد وصول الضحية إلى الصفحة المزيفة، تتلقى رسالة منبثقة تبلغها بوجود مشكلة فنية، مثل مشكلة في الميكروفون أو سماعة الرأس.
المصدر: سيكويا
إذا قاموا بالنقر فوق “Try Fix,” تبدأ عملية إصابة ClickFix القياسية حيث يؤدي كود PowerShell الذي نسخه موقع الويب ولصقه على موجه Windows إلى إصابة أجهزة الكمبيوتر الخاصة بهم ببرامج ضارة، وجلب الحمولة من “googiedrivers”[.]نطاق com.
الحمولات النهائية هي برامج ضارة لسرقة المعلومات Stealc أو Rhadamanthys على نظام التشغيل Windows. على جهاز macOS، يقوم ممثل التهديد بإسقاط AMOS Stealer كملف DMG (صورة قرص Apple) باسم “Launcher_v194”.
حددت Sekoia العديد من مجموعات توزيع البرامج الضارة الأخرى بالإضافة إلى Google Meet، بما في ذلك Zoom وقارئات PDF وألعاب الفيديو المزيفة (Lunacy وCalipso وBattleforge وRagon) ومتصفحات ومشاريع web3 (NGT Studio) وتطبيقات المراسلة (Nortex).