في تحذيرٍ جديد يعكس تسارع وتيرة الخداع الرقمي، نبّه خبراء الأمن السيبراني إلى تطوّر هجمات ClickFix بشكل مقلق، إذ لم تعد تعتمد على الإيهام بوجود مشكلة وهمية فحسب، بل باتت تُصاغ بأسلوب يوحي بخللٍ حقيقي لا يترك للضحية مجالًا للشك، فينقاد للحل المقترح دون تردّد، وكأنه طوق النجاة الوحيد.
كيف تعمل هجمات ClickFix؟
غالبًا ما تظهر هجمات ClickFix في هيئة نافذة منبثقة داخل موقع إلكتروني، أو عبر ملفات مزيفة بامتداد docx أو pdf. توهم الرسالة المستخدم بأنه غير قادر على عرض محتوى الصفحة أو فتح الملف بسبب خطأ تقني طارئ، وتُقدّم له “حلًا سريعًا” يتمثل في نسخ أمر معيّن ولصقه داخل نافذة تشغيل (Run) في نظام ويندوز.
لكن الحقيقة أبعد ما تكون عن الإصلاح.
لا توجد مشكلة أصلًا، وكل ما يحدث هو تنفيذ أمر خفي يُمهّد الطريق لتثبيت برمجيات خبيثة تمنح المهاجم موطئ قدم داخل الجهاز، دون أن يشعر المستخدم إلا بعد فوات الأوان.
الوجه الجديد للهجوم: تعطيل المتصفح عمدًا
في أحدث تطوّر لهذه الهجمات، رصد الباحثون إضافة مزيفة لحجب الإعلانات لمتصفحي Chrome وEdge تحمل اسم NexShield. هذه الإضافة ليست مجرد خدعة عابرة، بل عملية احتيال مُحكمة الصنع، يقف خلفها مهاجم يُعرف باسم KongTuke.
المثير للقلق أن المهاجم أنشأ مواقع تحاكي مستودعات المتصفحات الرسمية بدقة لافتة، كما تمكّنت البرمجيات الخبيثة من التسلل إلى المتاجر الرسمية نفسها. ولم يتوقف الخداع عند هذا الحد، إذ زعمت الإضافة زورًا أنها من تطوير ريموند هيل، مطوّر إضافة uBlock Origin الشهيرة، التي يعتمد عليها أكثر من 14 مليون مستخدم حول العالم.
صبر خبيث وخطة ذكية
لإبعاد الشبهات عن الإضافة، لا تبدأ أنشطتها الخبيثة فور التثبيت، بل تنتظر ساعة كاملة، وكأنها تمنح المستخدم شعورًا زائفًا بالأمان. بعد مرور هذه المدة، تُطلق الإضافة هجوم حرمان من الخدمة (DoS) يؤدي إلى تعطيل المتصفح بالكامل، ما يُجبر المستخدم على فتح “مدير المهام” وإعادة تشغيل المتصفح يدويًا.
عند إعادة التشغيل، تظهر رسالة خطأ وهمية، مصاغة بعناية لتبدو تقنية ومقنعة، وتعود حيلة ClickFix من جديد:
“إليك الحل… انسخ هذا الأمر والصقه في موجه أوامر ويندوز”.
النتيجة: سيطرة كاملة على الجهاز
بمجرد تنفيذ الأمر، يتم تنزيل وتثبيت ModeloRAT، وهو حصان طروادة للوصول عن بُعد، يمنح المهاجم صلاحيات كاملة على الجهاز المخترق. هنا، لا يعود الجهاز ملكًا لمستخدمه وحده، بل نافذة مفتوحة للمهاجم على الملفات والبيانات وحتى التحكم الكامل بالنظام.
من المستهدف؟
بحسب باحثي الأمن في شركة Huntress، الذين رصدوا الهجوم لأول مرة، فإن المهاجم KongTuke يستهدف حاليًا مستخدمي المؤسسات والشركات بشكل أساسي، ولم تُسجّل إصابات واسعة بين الأفراد حتى الآن. إلا أن هذا لا يعني الاطمئنان، فمثل هذه الهجمات نادرًا ما تبقى محصورة، وغالبًا ما تتوسّع دائرتها مع مرور الوقت.
الخلاصة
هجمات ClickFix لم تعد مجرد نوافذ مزعجة أو ملفات مشبوهة، بل تحوّلت إلى مسرحية متقنة، أبطالها رسائل خطأ مزيفة وحلول مغرية، ونهايتها فقدان السيطرة على الجهاز. والدرس الأهم يبقى ثابتًا:
لا تنسخ أوامر، ولا تنفّذ تعليمات تقنية، مهما بدت مقنعة، ما لم تكن متأكدًا تمامًا من مصدرها.
