زنجیره حمله کلیکفیکس؛ شگرد جدید هکرها برای فریب کاربران ویندوز با ترفند «fake captcha»
تصور کنید در گوگل به دنبال یک وبسایت فروشگاهی یا شرکتی معتبر میگردید، روی لینک سایت کلیک میکنید و همه چیز کاملاً طبیعی به نظر میرسد. اما ناگهان صفحهای ظاهر میشود که از شما میخواهد برای اثبات ربات نبودن، یک کپی¬پیست ساده انجام دهید. این جدیدترین و خطرناکترین شگرد کارشناسان سایبری است که به آن کمپین «کلیکفیکس» (ClickFix) میگویند
هکرها در این روش به جای فرستادن ایمیلهای مشکوک، سایتهای واقعی و سالم را آلوده میکنند تا کاربران بدون هیچ شکی، خودشان سیستم خود را هک کنند.
مراحل گامبهگام سقوط کاربر در تله؛ زنجیره حمله چگونه کار میکند؟
این کمپین مخرب که از آوریل ۲۰۲۶ شناسایی شده است، از چهار لایه بسیار هوشمندانه تشکیل شده که مانند دانههای زنجیر به هم متصل هستند تا آنتیویروسها را فریب دهند:
- گام اول: ورود به سایت آلوده: کاربر از طریق جستجوی گوگل وارد یک سایت معمولی (مثلاً یک کسبوکار کوچک اروپایی مبتنی بر وردپرس) میشود. سایت کاملاً درست کار میکند، اما هکرها قبلاً کدهای مخربی را در پشت صحنه آن تزریق کردهاند.
- گام دوم: فراخوانی کد از بلاکچین (EtherHiding): به محض ورود کاربر، کدهای مخفی سایت بدون سر و صدا به یک شبکه بلاکچین عمومی(بستر متصل به ارزهای دیجیتال) متصل میشوند تا دستورات بعدی را دریافت کنند. از آنجا که ترافیک بلاکچین از طریق شرکتهای امنیتی معتبری مثل کلودفلر رد میشود، آنتیویروسها به این ارتباط شک نمیکنند.
- گام سوم: تلهگذاری با کپچای دروغین (ClickFix): یک پنجره پاپآپ شبیه به صفحات تایید هویت گوگل (reCAPTCHA) روی صفحه ظاهر میشود. این پنجره به کاربر میگوید برای تایید هویت، کلیدهای میانبر (Win+R) را روی کیبورد بزند، سپس کلیدهای (Ctrl+V) و در نهایت دکمه Enter را فشار دهد.
- گام چهارم: اجرای ناخواسته بدافزار: در پشت صحنه و بدون اینکه کاربر متوجه شود، سایت یک کد مخرب را در حافظه موقت (Clipboard) سیستم کپی کرده است. وقتی کاربر دکمههای گفته شده را میزند، پنجره Run ویندوز باز شده، کد مخرب در آن پیست و اجرا میشود!
هدف نهایی چیست؟ ورود مخفیانه ابزار جاسوسی GULoader
اگر کاربر فریب این پنجره را بخورد، سیستم او بلافاصله به سرور هکرها متصل شده و برنامهای به نام GULoader را دانلود میکند. این برنامه مانند یک پل عمل میکند؛ کار اصلی آن باز کردن راه برای ورود ابزارهای جاسوسی بزرگتر (مانند Lumma یا Vidar) است که میتوانند تمام رمزهای عبور ذخیره شده در مرورگرها، اطلاعات کارتهای بانکی و اطلاعات شخصی کاربر را به سرقت ببرند یا کنترل کامل سیستم را به دست هکرها بسپارند.
نکته خطرناک اینجاست که این حمله فقط کاربران ویندوز دسکتاپ (کامپیوتر و لپتاپ) را هدف میگیرد. اگر کارشناسان امنیتی یا کاربران با گوشی موبایل وارد همان سایت شوند، سایت کاملاً پاک و بدون ایراد نشان داده میشود تا هک دستاندازها لو نرود. در این حادثه خاص، یک سیستم تحلیل رفتاری پیشرفته موفق شد حرکت مشکوک ویندوز را در کمتر از ۳۰۰ میلیثانیه شناسایی و قبل از دزدیده شدن اطلاعات، حمله را متوقف کند.
شاخصهای آلودگی (IoCs) و نشانههای دیجیتالی حمله
تیمهای فنی با ردیابی این کمپین، آدرسها و نشانههای زیر را به عنوان منابع اصلی انتشار این بدافزار معرفی کردهاند که باید در لایههای شبکه مسدود شوند:
- دامنه کنترل و فرمان بدافزار / autum-path[.]vo8xalon[.]in[.]net
- آدرس آیپی متصل به پروکسی کلودفلر / 188[.]114[.]96[.]7
- آدرس آیپی پشتیبان کلودفلر / 188[.]114[.]97[.]7
- آدرس اتصال به شبکه بلاکچین بومی / bsc-testnet[.]drpc[.]org
- آدرس کمکی و پشتیبان بلاکچین / data-seed-prebsc-1-s1[.]bnbchain[.]org
|
نوع (Type) |
Indicator |
توضیح (Description) |
|
Domain |
autum-path[.]vo8xalon[.]in[.]net |
دامنهٔ C2 مربوط به GULoader که در فرمان UNC استفاده شده است |
|
IPv4 Address |
188[.]114[.]96[.]7 |
پروکسی Cloudflare که دامنهٔ C2 مربوط به GULoader را resolve میکند |
|
IPv4 Address |
188[.]114[.]97[.]7 |
پروکسی Cloudflare که دامنهٔ C2 مربوط به GULoader را resolve میکند |
|
Domain |
bsc-testnet[.]drpc[.]org |
نود RPC شبکهٔ تست BNB Smart Chain که برای دریافت payload در تکنیک EtherHiding استفاده شده |
|
Domain |
data-seed-prebsc-1-s1[.]bnbchain[.]org |
نود جایگزین BSC که روی پورت 8545 تماس برقرار میکند |
|
File Path |
\autum-path[.]vo8xalon[.]in[.]net\05fe317c-0981-4de2-bc8a-930d369db441\ck-3d |
مسیر UNC راهدور که از طریق Run ویندوز اجرا شده است |
|
SHA-256 |
172a25a9ed8b798d8baeec29424b46627b5b39723b37c787f928d3700509001e |
هش فایل مخرب مرتبط با این کمپین |
|
MD5 |
236e1bef618edfe7f7c29ee2b4cba620 |
هش MD5 فایل مخرب مرتبط با این کمپین |
نتیجهگیری
کمپین کلیکفیکس نشان میدهد هکرها دیگر به دنبال فایلهای ضمیمه آلوده نیستند، بلکه روی «اشتباه کاربر» حساب باز کردهاند. بهترین راه دفاع در برابر این نوع حملات، افزایش آگاهی عمومی است؛ کاربران باید بدانند هیچ سایت یا سیستم تایید هویتی در دنیا از آنها نمیخواهد کدی را در محیط ویندوز خود کپی و اجرا کنند.
تحلیل و تدوین تخصصی: اتاق تحلیل اخبار امنیت سایبری ۲۴ نیوز
تحلیل فنی واژگان و اصطلاحات پیچیده گزارش (بخش اصلاحی و آموزشی)
برای درک بهتر فرآیند فنی این حمله، مفاهیم پیچیده متن اصلی در ادامه به زبان ساده تشریح شدهاند:
- تکنیک EtherHiding (پنهانکاری در بلاکچین): هکرها در گذشته کدهای مخرب خود را روی سرورهای شخصی نگه میداشتند که پلیس سایبری به سرعت آنها را مسدود میکرد. در این روش جدید، هکرها کد مخرب خود را درون یک «قرارداد هوشمند» در شبکه بلاکچین (همان شبکه رمزارزها) تزریق میکنند. از آنجا که دادههای بلاکچین غیرقابل تغییر و حذف هستند، هیچکس نمیتواند این کدها را پاک کند و آنتیویروسها هم نمیتوانند ارتباط با شبکه رسمی بلاکچین را مسدود کنند.
- ابزار GULoader (بارگذار حافظهمحور): این یک برنامه واسطه است که خودش مستقیماً اطلاعاتی نمیدزدد، بلکه وظیفهاش باز کردن پنهانی درهای سیستم است. ویژگی خاص آن این است که مستقیماً در حافظه موقت (RAM) کامپیوتر اجرا میشود و هیچ فایلی روی هارد دیسک ذخیره نمیکند؛ به همین دلیل آنتیویروسهای قدیمی که هارد را اسکن میکنند، متوجه حضور آن نمیشوند.
- فناوری اینترنت اشیاء و مسیرهای UNC/SMB: هکرها در گام آخر به جای اینکه فایل بدافزار را روی سیستم شما دانلود کنند، آدرسی از سرور خود را (در قالب مسیرهای شبکه درونسازمانی یا UNC) به ویندوز میدهند. ویندوز به طور خودکار از طریق پروتکل اشتراکگذاری فایل (SMB روی پورت 445)، فایل را مستقیماً از کامپیوتر هکر روی حافظه خود بازخوانی میکند؛ رفتاری که ویندوز فکر میکند یک کار اداری عادی در یک شبکه داخلی است.
