ثغرة خطيرة في Clickfix تخدع المستخدمين وتغيّر إعدادات DNS لتثبيت برمجيات خبيثة

في لحظة ضجر عابرة، وأمام نافذة منبثقة تدّعي وجود خطأ تقني أو اختبار تحقق، قد يجد المستخدم نفسه ينسخ أمراً غامضاً ويلصقه في نافذة التشغيل دون أن يتوقف كثيراً للتفكير. هذا تحديداً ما تراهن عليه حملة ClickFix في نسختها الأحدث، لكن مع تطور مقلق: استغلال نظام أسماء النطاقات DNS كقناة خفية لتسليم البرمجيات الخبيثة.

الهجوم الجديد، الذي رصده باحثون في مايكروسوفت ديفندر، يُعد امتداداً لحملات ClickFix المعروفة بأسلوبها القائم على الهندسة الاجتماعية. الفكرة بسيطة وخطيرة في آن واحد: إقناع الضحية بوجود مشكلة — رسالة CAPTCHA مزيفة أو تنبيه إصلاح عاجل — ثم توجيهها لنسخ نص برمجي ولصقه يدوياً في نافذة Run أو PowerShell.

الفرق هذه المرة أن النص البرمجي لا يحمّل الحمولة الخبيثة مباشرة، بل يستخدم أداة cmd.exe لتنفيذ استعلام DNS مخصص نحو خادم يتحكم به المهاجم. وبدلاً من احتواء الاستجابة على اسم نطاق عادي، يتم تضمين الشيفرة الخاصة بالمرحلة الثانية داخل حقل Name في الرد، ليعاد تنفيذها فوراً على جهاز الضحية.

استغلال DNS بهذه الطريقة ليس صدفة تقنية، بل اختيار استراتيجي. حركة DNS موجودة بشكل دائم في أي شبكة، سواء كانت منزلية أو مؤسسية، ما يمنح المهاجمين غطاءً طبيعياً داخل ضجيج الاتصال اليومي. تحويل بروتوكول أساسي في بنية الإنترنت إلى قناة تحميل خفيفة يعني تقليل احتمالية الرصد مقارنة بتنزيل ملف تنفيذي واضح.

الأهم أن هذا الأسلوب يسمح بالتحقق أولاً من أن الهدف نشط قبل إرسال الحمولة الأكبر. إنها مرحلة جس نبض رقمية: إذا استجاب الجهاز كما ينبغي، ينتقل الهجوم إلى الخطوة التالية بثقة أعلى.

بحسب ما نشره فريق Microsoft Defender Threat Intelligence، تبدأ المرحلة الثانية بتنزيل ملف ZIP يحتوي على نسخة محمولة من بايثون. استخدام بيئة Python محمولة يمنح المهاجمين مرونة كبيرة لتشغيل سكربتات متقدمة دون الحاجة إلى تثبيت تقليدي قد يثير الشك.

السكريبت الخبيث ينفذ عمليات استطلاع للجهاز والنطاق، جامعاً معلومات عن النظام والمستخدمين والبيئة الشبكية. وبعدها تُزرع آلية الاستمرارية عبر ملف VBScript وإنشاء اختصار في مجلد بدء التشغيل باسم MonitoringService.lnk، بما يضمن إعادة تشغيل الحمولة مع كل إقلاع للنظام.

الحمولة النهائية في هذه الحملة هي حصان طروادة للوصول عن بُعد يُعرف باسم ModeloRAT، يتيح للمهاجمين تحكماً كاملاً بالجهاز المصاب. ومع أن Microsoft Defender يرصد النشاط تحت توقيع Trojan:Win32/ClickFix.R!ml، فإن خط الدفاع الحقيقي هنا لا يبدأ من برنامج الحماية، بل من الوعي.

ما يتغير في هذه الهجمات ليس مجرد الشيفرة، بل نقطة الاستناد النفسية. المهاجمون لا يخترقون الأنظمة بقدر ما يدفعون المستخدم لفتح الباب بنفسه، مستفيدين من حاجته إلى حل سريع لمشكلة مزعومة.

تظهر حملة ClickFix الأخيرة أن الحدود بين البنية التحتية الطبيعية والهجوم السيبراني أصبحت أكثر ضبابية. حين يتحول بروتوكول أساسي مثل DNS إلى أداة تحميل خفي، يصبح التحدي أكبر من مجرد حظر ملف خبيث. إنه سباق فهم عميق لكيفية استغلال التفاصيل اليومية الصغيرة في بيئة الحوسبة، تلك التفاصيل التي نعتبرها بديهية إلى أن تُستخدم ضدنا.