هجوم ClickFix جديد يستغل Windows Terminal لتنفيذ برمجيات خبيثة وسرقة بيانات المستخدمين
كشف باحثون في مجال الأمن السيبراني عن موجة جديدة من هجمات ClickFix التي تستغل هذه المرة تطبيق Windows Terminal لتثبيت برمجيات خبيثة مباشرة على أجهزة الضحايا.
وعلى عكس الإصدارات السابقة من هذه التقنية التي كانت تعتمد على نافذة التشغيل Run في نظام Microsoft Windows، تقود الحملة الجديدة المستخدمين إلى فتح بيئة أوامر بصلاحيات متقدمة بأنفسهم، مما يجعل الهجوم أكثر إقناعًا وصعوبة في الاكتشاف.
ظهور تقنية ClickFix وانتشارها
ظهرت تقنية ClickFix لأول مرة في أوائل عام 2024 عندما رصد باحثون في شركة Proofpoint رسائل خطأ مزيفة في المتصفح تخدع المستخدمين وتجعلهم ينفذون أوامر ضارة.
وسرعان ما انتشرت هذه التقنية على نطاق واسع، حيث سجلت شركة ESET ارتفاعًا بنسبة 517٪ في هجمات ClickFix خلال عام 2025، لتصبح ثاني أكثر أساليب الهجوم انتشارًا عالميًا بعد التصيد الاحتيالي.
وغالبًا ما يعتمد المهاجمون على صفحات CAPTCHA مزيفة أو رسائل صيانة وهمية أو تحذيرات أمنية عاجلة لدفع الضحية إلى تنفيذ الأوامر قبل أن يشك في صحتها.
استهداف Windows Terminal في الهجوم الجديد
كشف محللو Microsoft Threat Intelligence في فبراير 2026 عن حملة واسعة النطاق تستهدف تطبيق Windows Terminal كبيئة تنفيذ رئيسية للهجوم.
فبدلًا من توجيه الضحايا إلى نافذة التشغيل عبر الاختصار Win + R، يطلب المهاجمون منهم استخدام الاختصار Windows + X ثم الضغط على I لفتح Windows Terminal مباشرة.
وتتيح هذه الطريقة للمهاجمين تجاوز بعض أدوات الحماية المصممة لرصد إساءة استخدام نافذة Run، كما تجعل العملية تبدو وكأنها إجراء تقني طبيعي يقوم به مسؤولو الأنظمة.
ClickFix يتفوق على التصيد الاحتيالي
وفقًا لتقرير Microsoft Digital Defense Report 2025، أصبحت هجمات ClickFix وسيلة الوصول الأولية الأكثر شيوعًا، إذ تمثل 47٪ من الهجمات التي رصدها فريق Microsoft Defender Experts، متجاوزةً هجمات التصيد الاحتيالي التقليدية التي بلغت نسبتها 35٪.
البرمجية الخبيثة المستخدمة: Lumma Stealer
تتمثل الحمولة النهائية في هذه الحملة في برنامج خبيث يُعرف باسم Lumma Stealer، وهو مصمم لسرقة بيانات تسجيل الدخول والمعلومات الحساسة المخزنة في المتصفحات مثل:
- Google Chrome
- Microsoft Edge
ويستهدف البرنامج استخراج أسماء المستخدمين وكلمات المرور والبيانات المخزنة في خاصية الملء التلقائي داخل المتصفح.
كيف تتم عملية الاختراق؟
تبدأ العدوى عندما يزور المستخدم موقعًا مخترقًا أو خبيثًا، حيث يقوم JavaScript مخفي داخل الصفحة بنسخ أمر PowerShell مشفر إلى الحافظة (Clipboard) دون أن يلاحظ المستخدم ذلك.
بعد ذلك تظهر رسالة تحقق مزيفة تقلد خدمات موثوقة مثل:
- Cloudflare
- Microsoft
وتطلب من المستخدم فتح Windows Terminal ولصق الأمر الموجود في الحافظة لإصلاح مشكلة مزعومة.
ماذا يحدث بعد تنفيذ الأمر؟
عند لصق الأمر وتشغيله داخل Windows Terminal:
- يقوم PowerShell بفك تشفير السكربت داخل الذاكرة.
- يتم الاتصال بخوادم المهاجمين عبر الإنترنت.
- يجري تنزيل نسخة معاد تسميتها من برنامج 7-Zip مع ملف مضغوط يحتوي على المرحلة التالية من الهجوم.
- يتم استخراج الملفات وتشغيلها بصمت دون أي إشعار للمستخدم.
بعد ذلك يقوم البرنامج الخبيث بإنشاء مهمة مجدولة تعمل عند كل إعادة تشغيل للنظام لضمان استمرارية الإصابة.
ويتم تثبيت Lumma Stealer في المسار التالي:
C:\ProgramData\app_config\ctjb
كما يستخدم تقنية حقن العمليات عبر الدالة QueueUserAPC() للاندماج داخل عمليات المتصفح مثل:
- chrome.exe
- msedge.exe
ومن هناك يتم استخراج ملفات بيانات تسجيل الدخول وإرسالها إلى خوادم المهاجمين.
لماذا يصعب اكتشاف الهجوم؟
تكمن خطورة الهجوم في أنه يستخدم ملف wt.exe وهو مكوّن نظام موثوق في Windows، لذلك قد لا تكتشفه أدوات المراقبة الأمنية بسهولة، خصوصًا عندما يتم تشغيل PowerShell من خلال Windows Terminal.
كيف يمكن الحماية من هذا الهجوم؟
للتقليل من خطر هذه الهجمات ينصح خبراء الأمن السيبراني باتباع الإجراءات التالية:
- تدريب الموظفين على عدم لصق أو تنفيذ أي أوامر في الطرفية بناءً على طلب موقع ويب.
- تقييد استخدام Windows Terminal وPowerShell للحسابات الإدارية فقط عبر Group Policy.
- مراجعة مفاتيح التسجيل في المسار:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- فحص Task Scheduler بانتظام للبحث عن مهام مجدولة غير معروفة.
- إعداد أدوات الحماية لمراقبة أي عمليات PowerShell يتم تشغيلها من خلال wt.exe.
- تحديث برامج الحماية وقواعد بيانات مكافحة البرمجيات الخبيثة باستمرار.
ويؤكد الخبراء أن هذا النوع من الهجمات يعتمد بشكل كبير على سلوك المستخدم وليس على ثغرة برمجية، ما يعني أن الوعي الأمني والتدريب المستمر يظلان خط الدفاع الأول ضد مثل هذه التهديدات.
المصدر: cybersecuritynews
