احذر: شاشة تحديث ويندوز هذه قد تكون فخًا للقراصنة

هجوم جديد يُعرف بـ ClickFix ينشئ شاشة تحديث مزيفة لنظام ويندوز تملأ الشاشة بأكملها عبر المتصفح، لخداع المستخدمين ودفعهم لتنفيذ أوامر خبيثة.

ظهر هجوم إلكتروني جديد يقلد شاشة تحديث نظام التشغيل ويندوز في محاولة لخداع المستخدمين لتنفيذ أوامر ضارة، بهدف تثبيت برامج خبيثة على أجهزتهم.

رصد هذا الهجوم باحث أمني في هيئة الخدمات الصحية الوطنية في المملكة المتحدة أثناء تحقيقه في التهديدات الإلكترونية. ويعمل هذا الهجوم من خلال زيارة موقع ويب خبيث، والذي يقوم بدوره بعرض شاشة زرقاء تملأ الشاشة بأكملها، مصممة لتبدو تمامًا مثل شاشة تحديث ويندوز، وتطالب المستخدم بإكمال ثلاث خطوات يدوية إضافية باستخدام لوحة المفاتيح.

في الواقع، هذه الشاشة الزرقاء ليست سوى فخ من القراصنة. فشاشة التحديث المزيفة هي مجرد صفحة ويب تستغل واجهة برمجة التطبيقات (API) الخاصة بوضع ملء الشاشة في المتصفح لتستحوذ على مساحة الشاشة بأكملها، مما يجعلها تبدو وكأنها جزء من نظام التشغيل.

1. الخطوة الأولى: تطلب الشاشة المزيفة من المستخدم الضغط على مفتاح Windows + R — وهي وظيفة غير شائعة تفتح مربع الحوار "تشغيل" (Run)، وهو وسيلة لتشغيل البرامج على أجهزة الكمبيوتر التي تعمل بنظام ويندوز.

2. الخطوة الثانية: في هذه الأثناء، يقوم الموقع بنسخ تعليمات برمجية خبيثة إلى حافظة المستخدم (Clipboard) دون علمه.

3. الخطوة الثالثة: ثم تطلب الشاشة من المستخدم الضغط على "CTRL + V" (لصق) ثم مفتاح Enter.

إذا وقع الضحية في الفخ، فسيقوم بلصق الأمر الخبيث في مربع الحوار "تشغيل" وتنفيذه، مما يتسبب في قيام حاسوبه بتنفيذ تعليمات برمجية من نطاق المهاجم الخبيث، وغالبًا ما يؤدي ذلك إلى تثبيت برامج ضارة.

يعتمد هذا التهديد على تقنية "ClickFix" التي استهدفت أجهزة ويندوز خلال العام الماضي. وفي السابق، استخدم القراصنة هذه التقنية في صفحات مزيفة تتنكر في هيئة اختبارات CAPTCHA، أو رسائل خطأ في متصفح كروم، أو مواقع حكومية. ولكن يبدو أن المهاجمين يبتكرون طرقًا جديدة لخداع الضحايا المحتملين.

لحسن الحظ، من السهل إحباط هذا الهجوم واكتشافه. وذلك لأن أي موقع أو خدمة شرعية لن تطلب منك أبدًا تنفيذ مثل هذه الأوامر على حاسوبك. كما أن الهجوم ليس سوى صفحة ويب يمكن إغلاقها بسهولة عن طريق إغلاق علامة التبويب أو نافذة المتصفح. بالإضافة إلى ذلك، سينصحك متصفح جوجل كروم بالضغط على مفتاح "ESC" للعودة إلى العرض العادي عند دخول المتصفح في وضع ملء الشاشة.

ومع ذلك، أبلغت شركات الأمن السيبراني عن زيادة في الهجمات المتعلقة بـ ClickFix. وتكمن خطورة هذه الهجمات في أنها يمكن أن تتجاوز برامج مكافحة الفيروسات التقليدية، لأن المستخدم هو من يقوم بتنفيذ الأمر الخبيث دون قصد، مما يجعله يبدو وكأنه إجراء شرعي.

وقالت شركة ESET في يونيو: "قائمة التهديدات التي تؤدي إليها هجمات ClickFix تنمو يومًا بعد يوم، وتشمل سارقي المعلومات (infostealers)، وبرامج الفدية (ransomware)، وأحصنة طروادة للوصول عن بعد (remote access trojans)، وبرامج تعدين العملات المشفرة (cryptominers)، وحتى البرامج الضارة المخصصة من جهات فاعلة تابعة لدول".