مُتغير جديد من FileFix يوزع برمجية StealC الخبيثة عبر موقع تصيد متعدد اللغات
المايسترو نيرو - قسم البرمجيات الخبيثة / الهندسة الاجتماعية
حذّر باحثو الأمن السيبراني من حملة جديدة تستخدم مُتغيرًا في أسلوب التهندس الاجتماعي المعروف باسم FileFix لتوزيع برمجية التجسس StealC.
"تعتمد الحملة المرصودة على موقع تصيد مقنع جدًا ومتعدد اللغات (مثل صفحة أمان Facebook مزيفة)، وتستخدم تقنيات لمكافحة التحليل والتمويه المتقدم للتهرب من الكشف،" قال إلياد كيمهي، الباحث في Acronis، في تقرير شاركته مع The Hacker News.
باختصار، تتضمن سلسلة الهجوم استخدام FileFix لجذب المستخدمين إلى تشغيل حمولة أولية تقوم بتنزيل صور تبدو بريئة تحتوي على المكونات الخبيثة من مستودع Bitbucket. وهذا يسمح للمهاجمين باستغلال الثقة المرتبطة بمنصة استضافة الشيفرة المصدرية الشرعية للتحايل على أنظمة الكشف.
يختلف أسلوب FileFix، الذي وثّقه لأول مرة الباحث الأمني mrd0x كإثبات مفهوم (PoC) في يونيو 2025، عن أسلوب ClickFix، حيث لا يتطلب من المستخدم فتح نافذة "تشغيل" (Run dialog) ولصق أمر مشفر لإكمال عملية التحقق من CAPTCHA المزيفة.
بدلاً من ذلك، يستغل FileFix ميزة رفع الملفات في متصفح الويب لخداع المستخدمين لنسخ ولصق أمر في شريط عنوان "مستكشف الملفات" (File Explorer)، مما يؤدي إلى تنفيذه محليًا على جهاز الضحية.
تبدأ الهجمة بموقع تصيد يتم إعادة توجيه الضحية إليه غالبًا عبر رسالة بريد إلكتروني تحذر من تعليق حساب Facebook خلال أسبوع بسبب انتهاك السياسات. ثم يُطلب من المستخدم الطعن في القرار بالضغط على زر.
يأتي أسلوب FileFix بعد النقر على الزر، حيث يُعرض على الضحية رسالة تفيد بأنه يمكنه الوصول إلى نسخة PDF من انتهاك السياسة عن طريق نسخ ولصق مسار الوثيقة في شريط عنوان مستكشف الملفات.
على الرغم من أن المسار الظاهر يبدو بريئًا تمامًا، فإن النقر على زر "نسخ" ينسخ أمرًا خبيثًا مضافًا إليه مسافات إضافية، بحيث يظهر فقط مسار الملف عند لصقه في مستكشف الملفات، مما يخفي الأمر الحقيقي.
هذا الأمر هو نص برمجي متعدد المراحل بلغة PowerShell يقوم بتنزيل الصورة المذكورة، وفك تشفيرها إلى الحمولة المرحلة التالية، وأخيرًا تشغيل برنامج تحميل مكتوب بلغة Go يقوم بفك shellcode المسؤول عن إطلاق برمجية StealC.
يوفر FileFix ميزة حاسمة مقارنة بـ ClickFix، إذ يستغل ميزة متصفح شائعة الاستخدام بدلاً من فتح نافذة "تشغيل"، والتي قد تكون محظورة من قبل مسؤول النظام كإجراء أمني.
قالت Acronis: "من ناحية أخرى، أحد الأمور التي تجعل ClickFix صعب الكشف في المقام الأول هو أنه ينشأ من explorer.exe عبر نافذة التشغيل أو مباشرة من طرفية، أما في حالة FileFix، فإن الحمولة يتم تنفيذها بواسطة متصفح الويب الذي يستخدمه الضحية، وهو ما يُرجح أكثر أن يلفت الانتباه أثناء التحقيق أو لدى منتجات الأمن."
أضافت الشركة: "أظهر الخصم وراء هذا الهجوم استثمارًا كبيرًا في أساليب الهجوم، حيث صمّم بنية التصيد والحمولة والعناصر الداعمة بعناية لتحقيق أقصى قدر من التهرب والتأثير."
تأتي هذه الكشف في الوقت الذي كشفت فيه شركة Doppel عن حملة أخرى تستخدم مزيجًا من بوابات الدعم المزيفة، وصفحات خطأ CAPTCHA من Cloudflare، واختطاف الحافظة (Clipboard hijacking) – أي ClickFix – لخداع الضحايا لتشغيل شيفرة PowerShell ضارة تقوم بتنزيل وتشغيل نص AutoHotkey (AHK).
تم تصميم النص لتحليل الجهاز المصاب وتوصيل حمولات إضافية، بما في ذلك AnyDesk وTeamViewer وبرمجيات سرقة المعلومات وبرمجيات اختطاف العملات الرقمية (clipper malware).
كما رصدت الشركة أشكالًا أخرى من النشاط، حيث يُوجه الضحايا لتشغيل أمر MSHTA يشير إلى نطاق مشابه لجوجل ("wl.google-587262[.]com")، والذي يقوم بعدها باسترداد وتنفيذ شيفرة ضارة عن بُعد.
قال الباحث في Doppel، آرش جاوا: "AHK هي لغة نصية مبنية على نظام Windows تم تصميمها في الأصل لأتمتة المهام المتكررة مثل ضغطات المفاتيح ونقرات الفأرة. وبينما كانت دائمًا شائعة بين المستخدمين المتقدمين ومديري الأنظمة لبساطتها ومرونتها، بدأ الفاعلون الخبيثون باستغلال AHK منذ عام 2019 لإنشاء أدوات خفيفة الوزن لنشر البرمجيات الخبيثة وسرقة المعلومات. غالبًا ما تتقمص هذه النصوص الخبيثة شكل أدوات أتمتة بريئة أو أدوات دعم."
آخر تحديث: 7 أكتوبر 2025