تحوّل قراصنة العملات الرقمية الذين يستخدمون هجمات “ClickFix” لسرقة الأصول الرقمية إلى انتحال صفة شركات رأس مال مخاطر واختراق إضافات المتصفح في أحدث حملتين رُصدتا مؤخرًا.
وبحسب تقرير صادر يوم الاثنين عن شركة الأمن السيبراني Moonlock Lab، يستخدم المحتالون شركات رأس مال مخاطر وهمية مثل SolidBit وMegaBit وLumax Capital. ويتواصل القراصنة مع الضحايا عبر LinkedIn بعروض شراكة مزعومة، ثم يوجهونهم إلى روابط مزيفة لاجتماعات Zoom وGoogle Meet.
وعند نقر الهدف على الرابط الاحتيالي، يتم نقله إلى صفحة فعالية تتضمن مربع تحقق مزيف من Cloudflare بعنوان “أنا لست روبوتًا”. يؤدي النقر على هذا المربع إلى نسخ أمر خبيث إلى الحافظة، ما يدفع المستخدم إلى فتح نافذة الأوامر في جهازه ولصق ما يُسمى برمز التحقق، ليتم تنفيذ الهجوم بعد ذلك.
وقالت Moonlock Lab: “تقنية ClickFix هي ما يجعل الخطوة الأخيرة فعّالة للغاية. فمن خلال تحويل الضحية إلى آلية التنفيذ بجعله يلصق الأمر ويشغّله بنفسه يتجاوز المهاجمون الضوابط الأمنية التي أمضت الصناعة سنوات في تطويرها. لا يوجد استغلال لثغرة. لا يوجد تنزيل مريب.”
وتزعم الشركة أن شخصًا يستخدم اسم Mykhailo Hureiev، مُدرج بصفته المؤسس الشريك والشريك الإداري في SolidBit Capital، كان نقطة الاتصال الرئيسية في المرحلة الأولى من عملية الاحتيال عبر LinkedIn. كما أبلغ مستخدمان على منصة X عن محادثات مريبة مع حساب يحمل الاسم نفسه.
مع ذلك، أشارت Moonlock Lab إلى أن البنية التحتية للحملة متطورة ومصممة لتغيير الهويات بسرعة بمجرد انكشاف إحدى الواجهات.
اختراق إضافة Chrome لسرقة العملات الرقمية
في سياق متصل، نشر قراصنة العملات الرقمية حتى وقت قريب إضافة خبيثة لمتصفح Chrome تحت غطاء هجوم “ClickFix”.
وقال جون تاكنر، مؤسس شركة Annex Security المتخصصة في الأمن السيبراني، في تقرير بتاريخ 23 فبراير، إن إضافة QuickLens، التي تتيح للمستخدمين إجراء عمليات بحث عبر Google Lens مباشرة من المتصفح، أُزيلت من متجر الإضافات بعد اختراقها لاستخدامها في نشر برمجيات خبيثة.
فبعد تغيير ملكية QuickLens في الأول من فبراير، تم إصدار نسخة جديدة بعد أسبوعين تضمنت سكربتات خبيثة أطلقت هجمات ClickFix وأدوات أخرى لسرقة المعلومات. وأشار تاكنر إلى أن الإضافة كان لديها نحو 7,000 مستخدم.
وبحسب تقرير صادر عن eSecurity Planet في 2 مارس، كانت الإضافة المخترَقة تبحث عن بيانات محافظ العملات الرقمية وعبارات الاسترداد لسرقة الأموال. كما قامت بجمع محتويات صناديق بريد Gmail وبيانات قنوات YouTube وبيانات تسجيل الدخول الأخرى أو معلومات الدفع التي يتم إدخالها في نماذج الويب.
حملات ClickFix تستهدف عدة قطاعات
ذكرت Moonlock Lab أن تقنية ClickFix اكتسبت شعبية بين الجهات الخبيثة منذ العام الماضي لأنها تجبر الضحايا على تنفيذ الحمولة الخبيثة يدويًا، متجاوزة أدوات الحماية التقليدية.
غير أن باحثي الأمن السيبراني يتتبعون استخدامها منذ عام 2024 على الأقل، حيث استهدفت مجموعة واسعة من القطاعات.
وأصدرت Microsoft Threat Intelligence تحذيرًا في أغسطس من العام الماضي يفيد بأنها تتعقب “حملات تستهدف آلاف أجهزة المؤسسات والمستخدمين النهائيين عالميًا يوميًا”.
كما أفادت شركة الأمن السيبراني Unit42 في يوليو من العام الماضي بأن “تقنية الهندسة الاجتماعية الجديدة نسبيًا” أثّرت في قطاعات مثل التصنيع، والجملة والتجزئة، والحكومات المحلية والإقليمية، وقطاعات المرافق والطاقة.
